رئيس مجلس الإدارة
نيفين منصور
رئيس التحرير
إبراهيم مصطفى
04:09 م calendar السبت 18 يوليو 2026

ثغرة CVE-2025-55315 في Kestrel تهدد تطبيقات .NET 8

تحديث أمني عاجل لإصلاح ثغرة CVE-2025-55315 في Kestrel وASP.NET Core.

تحديث عاجل من Microsoft
تحديث عاجل من Microsoft لحماية الخوادم السحابية أرشيفية

    ملخص

    ثغرة CVE-2025-55315 في خادم Kestrel داخل إطار ASP.NET Core أثارت حالة طوارئ أمنية غير مسبوقة، بعد أن كشفت Microsoft عن إمكانية تنفيذ هجوم HTTP Request Smuggling يهدد حماية تطبيقات ASP.NET Core على خوادم الإنتاج. الخطورة دفعت الشركة إلى إصدار تحديث .NET 8 فوراً لإصلاح CVE-2025-55315 ومنع استغلال الثغرة. الخبراء أكدوا أن ثغرة Kestrel تتيح تجاوز الحماية وسرقة البيانات الحساسة، لذلك يوصى بتطبيق تحديث أمني عاجل ومراجعة إعدادات الأمان لضمان حماية البنية التحتية الرقمية بشكل كامل.

    أحدث تحديث أمني لإصلاح ثغرة Kestrel أرشيفية
    أحدث تحديث أمني لإصلاح ثغرة Kestrel أرشيفية 

    خطورة ثغرة CVE-2025-55315 في خادم Kestrel

     

    الثغرة CVE-2025-55315 تُعد من أخطر الثغرات التي واجهت إطار ASP.NET Core منذ إطلاقه، إذ تسمح بتهريب الطلبات HTTP Request Smuggling وتجاوز آليات الأمان. تؤدي إلى إمكانية سرقة بيانات المستخدمين أو تغيير محتوى الملفات وتعطيل الخوادم. الخبراء صنفوها بدرجة خطورة 9.9 من 10، وهي من أعلى التقييمات التي منحتها Microsoft على الإطلاق.

    كيف يعمل هجوم HTTP Request Smuggling في ASP.NET Core

     

    يحدث الهجوم عند اختلاف طريقة تفسير الخوادم للرؤوس في طلبات HTTP. يستغل المهاجم هذا الاختلاف لتمرير طلبات ضارة داخل تدفق مشروع ظاهرياً، ما يتيح الوصول غير المصرح به أو سرقة جلسات المستخدمين. في حالة Kestrel، يتسبب الخلل في سوء معالجة الطلبات غير القياسية التي تمر عبر Reverse Proxy، مما يجعل الثغرة قابلة للاستغلال حتى في البيئات المحمية.

    تحديث .NET 8 وإصلاح ثغرة Kestrel الحرجة

     

    أطلقت Microsoft تحديث .NET 8 فوراً لمعالجة ثغرة CVE-2025-55315 في خادم Kestrel، إلى جانب تحديثات .NET 9 و ASP.NET Core 2.x. يشمل الإصلاح تحسين آلية تحقق الخادم من سلامة الطلبات ومنع تهريبها بين الطبقات. أكدت الشركة أنه لم يُرصد أي استغلال فعلي حتى الآن لكنها حثّت المستخدمين على التحديث العاجل.

    الإصدارات المتأثرة من ASP.NET Core وخطورة الثغرة

     

    تأثرت إصدارات ASP.NET Core 2.3 و 8.0 قبل الإصدار 8.0.21، و 9.0 قبل 9.0.10، إضافة إلى الإصدار التجريبي من .NET 10. تطال الثغرة التطبيقات التي تستخدم Kestrel كخادم ويب افتراضي، سواء على Azure أو على الخوادم المحلية.

    خطوات تحديث .NET 8 لحماية تطبيقات ASP.NET Core

     

    1. تحميل آخر إصدار من موقع Microsoft الرسمي.
    2. تثبيت الـ Runtime و SDK الجديد (.NET 8.0.21 أو أعلى).
    3. إعادة بناء التطبيقات self-contained ونشرها من جديد.
    4. لبيئات Azure، تحديث التوزيع عبر المدخل أو CLI.
    5. اختبار الخوادم بعد التحديث باستخدام أدوات مثل Qualys أو Microsoft Defender.
    إصلاح ثغرة Kestrel في تحديث .NET الأخير أرشيفية
    إصلاح ثغرة Kestrel في تحديث .NET الأخير أرشيفية 

    نصائح Microsoft الأمنية بعد اكتشاف CVE-2025-55315

     

    أوصت Microsoft بتفعيل ميزة HTTP/2 Strict Validation في Kestrel، واستخدام جدار تطبيقات الويب WAF لرصد الطلبات غير الطبيعية. كما حثت على الإبلاغ عن أي نشاط مشبوه إلى [email protected] وتحديث الأنظمة دوريًا.

    تأثير ثغرة Kestrel على الخوادم والتطبيقات السحابية

     

    تشكل الثغرة تهديدًا لموارد Azure والتطبيقات السحابية التي تعتمد على ASP.NET Core، وقد تسمح بتعطيل الخدمات أو تغيير البيانات. تحديث .NET 8 فورًا هو السبيل الوحيد لمنع الهجوم وتحقيق استمرارية الخدمة.

    كيفية التحقق من إصلاح CVE-2025-55315 بعد التحديث

     

    يُنصح بفحص ملفات السجلات Logs والتحقق من الإصدارات المثبتة باستخدام أمر dotnet –info. يجب أن تظهر نسخة ASP.NET Core 8.0.21 أو أحدث. استخدم اختبارات اختراق داخلية للتأكد من أن الثغرة أُغلقت تماماً.

    تحذيرات الأمان ودور المطورين في حماية ASP.NET Core

     

    يقع العبء على المطورين ومسؤولي النظم لتطبيق التحديثات الفورية، وربط عمليات النشر بفحوصات أمان تلقائية. الالتزام بالإرشادات يوفّر حماية فعّالة ضد ثغرة CVE-2025-55315 وأمثالها.

    توصيات ختامية لتحديث .NET 8 وإغلاق الثغرة نهائيًا

     

    تطبيق التحديثات الأمنية العاجلة، ومراجعة البيئات السحابية والمحلية، وضبط إعدادات Kestrel وفق إرشادات Microsoft هي الخطوات الأساسية لحماية البنية التحتية الرقمية. التحرك السريع يضمن إغلاق CVE-2025-55315 نهائيًا ويحافظ على سلامة تطبيقات ASP.NET Core.

    تم نسخ الرابط