أعلنت شركة مايكروسوفت عن إصلاح واحدة من أخطر الثغرات الأمنية التي واجهتها أنظمتها على الإطلاق، والتي وُصفت بأنها من بين "الأعلى تصنيفاً" من حيث درجة الخطورة في تاريخ الشركة.
الثغرة، التي تم تتبعها تحت الرمز CVE-2025-55315، هي خلل في معالجة طلبات HTTP (أو ما يُعرف بـ HTTP Request Smuggling) في خادم الويب Kestrel ضمن بيئة ASP.NET Core، وقد حصلت على تقييم خطورة بلغ 9.9 من 10 وفق نظام تصنيف الثغرات الأمنية العالمي.
وقالت "مايكروسوفت" في بيانها الأمني إن هذه الثغرة تتيح للمهاجمين غير المصرح لهم تمرير طلبات HTTP ثانوية داخل الطلب الأصلي، ما قد يؤدي إلى تجاوز أنظمة الحماية والوصول إلى بيانات حساسة مثل بيانات اعتماد المستخدمين أو تعديل ملفات على الخادم المستهدف، بل وحتى التسبب في انهيار الخادم بالكامل، بحسب تقرير نشره موقع "techradar" واطلعت عليه "العربية Business".
ولم توضح الشركة وجود أي حالات اختراق فعلية حتى الآن، لكنها أوصت المستخدمين والمطورين باتباع الخطوات التالية لتأمين بيئاتهم:
- بالنسبة لمستخدمي .NET 8 أو الإصدارات الأحدث، يجب تثبيت آخر تحديث من Microsoft Update.
- أما مستخدمو .NET 2.3 فعليهم تحديث الحزمة Microsoft.AspNet.Server.
- في حال كان التطبيق يعمل بنظام الملف الواحد (Single File)، يجب كذلك إعادة تجميع التطبيق وتحديثه بالكامل.
وشملت التحديثات الأمنية أيضاً أدوات تطوير مثل Visual Studio 2022 وإصدارات ASP.NET Core 2.3 و8.0 و9.0.
وأوضح باري دورانز، مدير برنامج الأمان في .NET عبر منصة GitHub، أن درجة الخطورة المرتفعة لا تعني بالضرورة أن كل التطبيقات مهددة بنفس المستوى، إذ يعتمد تأثير الثغرة على طريقة بناء كل تطبيق على حدة، مضيفاً أن "مايكروسوفت" فضّلت احتساب "أسوأ سيناريو ممكن" لضمان الحماية القصوى للمستخدمين.
تؤكد "مايكروسوفت"، بهذا الإصلاح، استمرارها في تعزيز أمان بيئات التطوير والتطبيقات السحابية، في وقت تتزايد فيه هجمات استغلال الثغرات البرمجية على نطاق عالمي.
