10 月 28 日消息，科技媒體 bleepingcomputer 昨日（10 月 27 日）發(fā)布博文，報道稱威聯(lián)通（QNAP）發(fā)布緊急警告，其 Windows 備份工具 NetBak PC Agent 受一個關(guān)鍵的 ASP.NET Core 漏洞（CVE-2025-55315）影響，并敦促用戶立即采取措施進行修補。該漏洞的編號為 CVE-2025-55315，是一個存在于 Kestrel ASP.NET Core Web 服務器中的安全繞過漏洞。

威聯(lián)通解釋稱，由于 NetBak PC Agent 在安裝時會捆綁并依賴 ASP.NET Core 組件，因此未及時更新 Windows 系統(tǒng)的用戶設(shè)備可能正暴露于風險之中。

利用此漏洞，低權(quán)限攻擊者可發(fā)起“HTTP 請求走私”攻擊，其潛在后果十分嚴重，包括劫持其他用戶憑據(jù)、繞過前端安全控制等。據(jù)微軟安全技術(shù)項目經(jīng)理透露，該漏洞被評為 ASP.NET Core 歷史上嚴重等級“有史以來最高”的漏洞。

威聯(lián)通進一步補充，一旦攻擊者成功利用該漏洞，便能以其他用戶身份登錄（實現(xiàn)權(quán)限提升）、繞過跨站請求偽造（CSRF）保護、執(zhí)行注入攻擊。更嚴重的是，攻擊者甚至可能未經(jīng)授權(quán)訪問敏感數(shù)據(jù)、修改服務器文件或?qū)е掠邢薜木芙^服務，直接威脅個人和企業(yè)的數(shù)據(jù)安全。

威聯(lián)通強烈建議用戶盡快確保其 Windows 系統(tǒng)已安裝最新的微軟 ASP.NET Core 更新。官方提供了兩種修復方案：

    一是徹底重新安裝 NetBak PC Agent 應用，以自動獲取更新后的組件；

    二是訪問微軟 .NET 8.0 官網(wǎng)，手動下載并安裝最新的 ASP.NET Core 運行時（Hosting Bundle）。