Microsoft ha publicado parches para la vulnerabilidad crítica CVE-2025-55315 en el servidor web Kestrel utilizado por ASP.NET Core. El fallo, clasificado como HTTP request smuggling y con una puntuación CVSS de 9,9/10, puede permitir que un atacante autenticado introduzca solicitudes ocultas a través de la cadena de entrega HTTP, eludiendo controles del proxy o del servidor y habilitando robo de credenciales, modificación de archivos y potenciales interrupciones del servicio.
Productos afectados, alcance del fallo y parches de seguridad
El impacto se centra en Kestrel, el servidor HTTP de alto rendimiento de .NET. Bajo determinadas condiciones, un atacante con sesión válida podría inyectar un segundo payload HTTP para interferir con el flujo de peticiones/respuestas, comprometiendo la confidencialidad, integridad y disponibilidad. Microsoft ha liberado actualizaciones para Visual Studio 2022, ASP.NET Core 2.3, ASP.NET Core 8.0 y ASP.NET Core 9.0, además del paquete Microsoft.AspNetCore.Server.Kestrel.Core específico para aplicaciones en ASP.NET Core 2.x.
Se recomienda actualizar los target frameworks y paquetes de servidor, recompilar y volver a desplegar las cargas de trabajo. En entornos con contenedores, es esencial reconstruir las imágenes y sincronizar los base layers con los repositorios del proveedor para evitar regresiones y asegurar la coherencia de parches a lo largo de la cadena.
Cómo opera el HTTP request smuggling y por qué eleva el riesgo
El request smuggling explota desajustes en el análisis de peticiones entre componentes como balanceadores de carga, proxies inversos (p. ej., Nginx, Apache o soluciones de nube) y el backend. Un patrón clásico es la interpretación divergente de Content-Length y Transfer-Encoding, que permite “encapsular” una solicitud extra para que el siguiente salto la procese como parte de un flujo legítimo. Esto abre vectores para secuestro de sesión, salto de protecciones CSRF, SSRF internos e inyecciones maliciosas. OWASP y la comunidad de investigación han documentado extensamente estos ataques, que resurgen cuando existen cadenas HTTP heterogéneas o configuraciones no normalizadas.
Severidad, probabilidad y dependencia de la lógica de la aplicación
La calificación CVSS 9.9 refleja el peor escenario posible. Microsoft señala que la explotación efectiva depende de la lógica de cada servicio: si el código salta validaciones per-request o maneja de forma laxa la sesión y los límites de mensaje, el impacto puede amplificarse. Según el equipo de seguridad de .NET, el riesgo puede parecer bajo en ciertos despliegues, pero se acumula cuando intervienen múltiples proxies, cachés, entornos multiarrendados y API gateways, por lo que actualizar sigue siendo prioritario.
Recomendaciones prácticas para mitigar CVE-2025-55315
Actualización e inventario de exposición
Aplique de inmediato los parches a todas las instancias de ASP.NET Core y Kestrel. Haga inventario de servicios que usen HTTP/1.1 y proxies/balanceadores para asegurar que el frente (proxy) y el backend están actualizados de forma coherente. Verifique versiones en grupos de escalado y despliegues híbridos para evitar nodos rezagados.
Endurecimiento de la cadena HTTP
Implemente normalización y filtrado de cab
