Microsoft minggu ini merilis tambalan keamanan untuk menutup celah serius pada ASP.NET Core, yang digambarkan sebagai kerentanan dengan tingkat keparahan tertinggi dalam sejarah platform tersebut.
Kerentanan ini, teridentifikasi sebagai CVE-2025-55315, merupakan bug HTTP request smuggling yang ditemukan pada Kestrel, server web bawaan ASP.NET Core. Celah tersebut memungkinkan penyerang yang telah terautentikasi menyelundupkan permintaan HTTP tambahan (smuggled request) untuk mencuri kredensial pengguna lain atau melewati kontrol keamanan di sisi front-end.
Potensi Dampak Serius
Dalam penjelasan resmi, Microsoft menyebutkan bahwa eksploitasi berhasil dari celah ini dapat menyebabkan tiga jenis risiko utama:
- Kerahasiaan (Confidentiality): penyerang dapat mengakses data sensitif seperti kredensial pengguna lain.
- Integritas (Integrity): pelaku dapat memodifikasi konten file di server target.
- Ketersediaan (Availability): potensi menyebabkan server crash dan mengganggu layanan.
Dengan kombinasi dampak tersebut, kerentanan ini diberi skor tertinggi dalam klasifikasi keamanan ASP.NET Core.
Langkah Pembaruan yang Disarankan
Untuk melindungi aplikasi ASP.NET Core dari ancaman ini, Microsoft meminta pengembang dan administrator untuk segera menerapkan pembaruan berikut sesuai versi yang digunakan:
- .NET 8 atau lebih baru: pasang pembaruan melalui Microsoft Update, lalu restart aplikasi atau reboot sistem.
- .NET 2.3: perbarui package reference
Microsoft.AspNet.Server.Kestrel.Coreke versi 2.3.6, lakukan recompile, dan redeploy aplikasi. - Aplikasi self-contained atau single-file: pasang pembaruan .NET terbaru, lakukan recompile, dan redeploy.
Tambalan keamanan ini mencakup pembaruan untuk Microsoft Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0, ASP.NET Core 9.0, serta package Microsoft.AspNetCore.Server.Kestrel.Core untuk aplikasi berbasis ASP.NET Core 2.x.
Penjelasan Teknis dari Microsoft
Menurut Barry Dorrans, Technical Program Manager keamanan .NET di Microsoft, dampak nyata dari CVE-2025-55315 tergantung pada arsitektur aplikasi yang ditargetkan. Eksploitasi dapat memungkinkan pelaku untuk:
- Masuk sebagai pengguna lain (eskalasi hak akses),
- Melakukan server-side request forgery (SSRF),
- Melewati perlindungan Cross-Site Request Forgery (CSRF),
- Atau menyuntikkan permintaan berbahaya ke dalam sistem.
“Kami tidak tahu pasti apa yang mungkin dilakukan, karena bergantung pada bagaimana aplikasi ditulis. Oleh karena itu, kami menilai dengan skenario terburuk — yaitu security feature bypass yang mengubah ruang lingkup,” jelas Dorrans.
“Apakah itu mungkin? Mungkin tidak, kecuali aplikasi Anda melewatkan beberapa pemeriksaan penting pada setiap permintaan. Namun, sebaiknya segera lakukan pembaruan.”
Bagian dari Patch Tuesday Oktober 2025
Kerentanan ini termasuk dalam gelombang Patch Tuesday Oktober 2025, di mana Microsoft merilis tambalan untuk 172 celah keamanan, termasuk delapan kerentanan kritis dan enam bug zero-day, tiga di antaranya telah dieksploitasi secara aktif.
Selain itu, Microsoft juga menerbitkan KB5066791, pembaruan kumulatif terakhir untuk Windows 10, menandai berakhirnya dukungan resmi sistem operasi tersebut.
Sumber: BleepingComputer