微軟(Microsoft)在 2025 年 10 月的例行更新(Patch Tuesday)中,修補了一個 CVSS 評分高達 9.9、近乎滿分的嚴重漏洞 CVE-2025-55315。對此,NAS 大廠威聯通(QNAP)日前發布了安全公告 QSA-25-44,呼籲旗下 Windows 備份公用程式 NetBak PC Agent 的用戶,由於該軟體依賴有瑕疵的微軟 ASP.NET Core 元件運作,因此也暴露在這次微軟軟體的風險內,需要儘速更新電腦上受影響的微軟系統元件,以避免潛在的資安威脅。
什麼是 CVE-2025-55315?史上最高分的 ASP.NET 漏洞
這個被標記為 CVE-2025-55315 的漏洞,存在於 Microsoft 的 ASP.NET Core 中,屬於 HTTP 請求走私(HTTP Request Smuggling)類型。根據微軟的報告,僅需低權限的攻擊者即可透過傳送惡意的 HTTP 請求來觸發此漏洞。
微軟 .NET 資安技術經理 Barry Dorrans 更公開指出,這可能是「史上最高分的 ASP.NET 漏洞」。一旦被成功利用,攻擊者可能:
檢視敏感資訊(例如其他使用者的身分驗證資料)
竄改伺服器上的檔案內容
導致伺服器當機(阻斷服務攻擊)
甚至可能被用於權限提升、伺服器請求偽造(SSRF)、繞過跨網站請求偽造(CSRF)檢查或進行注入攻擊。
NetBak PC Agent 為何受到影響?
QNAP 在 QSA-25-44 公告中說明,NetBak PC Agent 是一套安裝在 Windows 個人電腦或伺服器上的公用程式,專門用於將本機資料備份到 QNAP NAS 設備。
這裡必須釐清的關鍵點是,此漏洞並非存在於 NAS 的 QTS 或 QuTS hero 作業系統中,而是存在於安裝 NetBak PC Agent 的 Windows 用戶端電腦上。由於 NetBak PC Agent 必須搭配 ASP.NET Core 元件才能運作,如果用戶的 Windows 電腦上尚未更新此元件,該電腦就處於易受 CVE-2025-55315 攻擊的狀態。
QNAP 提供兩種立即行動解決方案
為避免遭受此嚴重漏洞帶來的潛在威脅,QNAP 呼籲 NetBak PC Agent 用戶立即採取以下任一行動來修補漏洞:
手動更新 ASP.NET Core: 用戶可自行前往微軟官方網站,下載並安裝 ASP.NET Core Runtime 8.0.21 或更新版本。
重新安裝 NetBak PC Agent: 先將目前電腦上的 NetBak PC Agent 軟體解除安裝,然後至 QNAP 官網支援中心下載最新版本的 NetBak PC Agent 並重新安裝。新版的安裝流程將會一併部署已修補此漏洞的 ASP.NET Core 元件。
鑑於此漏洞的嚴重性(CVSS 9.9),我們強烈建議所有使用 NetBak PC Agent 的個人與企業用戶,立即檢查你用於備份的 Windows 電腦,並盡快完成更新,以確保資料安全。
相關連結:
如何透過 NetBak PC Agent 備份並還原 Windows PC 或伺服器?
