Microsoft เพิ่งแพตช์ช่องโหว่ที่ได้รับคะแนนความรุนแรงสูงสุดในประวัติศาสตร์ของบริษัท ด้วย CVSS score 9.9 คะแนน สำหรับช่องโหว่ CVE-2025-55315 ที่เกิดขึ้นกับ Kestrel web server ใน ASP.NET Core[1] Barry Dorrans ผู้จัดการโครงการรักษาความปลอดภัยของ Microsoft ยืนยันว่านี่คือ "คะแนนสูงสุดที่เราเคยให้มา"[2] ช่องโหว่แบบ HTTP request smuggling นี้อนุญาตให้ผู้โจมตีที่ผ่านการ authentication แล้วสามารถแทรก HTTP request เพื่อขโมย credentials ของผู้ใช้รายอื่น หรือข้ามระบบรักษาความปลอดภัยด้านหน้าได้[1] ความรุนแรงของช่องโหว่นี้อยู่ในระดับเดียวกับ Log4Shell และ Shellshock ที่เคยสร้างความเสียหายครั้งใหญ่ในอดีต[3] Microsoft แนะนำให้นักพัฒนาและผู้ดูแลระบบที่ใช้ .NET 6.0, 8.0 และ 9.0 รีบอัปเดตเป็นเวอร์ชันล่าสุดโดยเร็วที่สุด เนื่องจากช่องโหว่นี้กระทบกับเกือบทุกเวอร์ชันของ .NET ที่ยังได้รับการสนับสนุน การเลื่อนการอัปเดตอาจส่งผลให้แอปพลิเคชันมีความเสี่ยงต่อการถูกโจมตีแบบ confidentiality, integrity และ availability พร้อมกัน
Microsoft แก้ไขช่องโหว่ด้านความปลอดภัยที่มีคะแนนความรุนแรงสูงสุดในประวัติศาสตร์
