据 bleepingcomputer.com 报道,微软已发布紧急补丁(out-of-band security updates),以修复 ASP.NET Core 中存在的一个严重权限提升漏洞。
该漏洞编号为 CVE-2026-40372,影响 ASP.NET Core Data Protection 加密 API。未经身份验证的攻击者可以通过伪造身份验证 Cookie,利用此漏洞获取受影响设备上的 SYSTEM 权限。
微软是在本月“补丁星期二”安装 .NET 10.0.6 更新后,收到用户关于多款应用程序解密失败的报告后,才发现该问题的。
微软在 .NET 10.0.7 的发布说明中指出:“Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 NuGet 包中的一个回归问题,导致托管身份验证加密器在计算 HMAC 验证标签时,针对了错误的负载字节,并在某些情况下丢弃了计算出的哈希值。”
持续存在的安全风险
这种验证机制的失效使得攻击者能够伪造通过真实性检查的负载。此外,该漏洞还允许攻击者解密身份验证 Cookie、防伪令牌(antiforgery tokens)、TempData 以及 OIDC 状态中此前受保护的负载内容。
微软警告称,如果攻击者在漏洞窗口期内利用伪造的负载冒充高权限用户,可能会诱导应用程序签发合法的令牌。即使系统升级到了 10.0.7 版本,包括会话刷新、API 密钥和密码重置链接在内的这些令牌在 DataProtection 密钥环(key ring)轮换之前,仍然保持有效。
在周二发布的安全公告中,微软进一步解释称,该漏洞可能允许攻击者篡改数据并泄露文件,但不会影响系统的可用性。
微软高级项目经理 Rahul Bhandari 敦促所有使用 ASP.NET Core Data Protection 的客户立即将 Microsoft.AspNetCore.DataProtection 包更新至 10.0.7 版本。他建议重新部署更新,以修复验证程序并确保伪造的负载被拒绝。
此次紧急补丁发布前,微软近期已进行了一系列备受关注的安全修复。今年 10 月,微软修复了 Kestrel Web 服务器中的一个 HTTP 请求走私漏洞(CVE-2025-55315),该漏洞在 ASP.NET Core 安全问题中获得了最高严重性评级。
成功利用该 Kestrel 漏洞的已认证攻击者可以劫持用户凭据、绕过安全控制或导致服务器崩溃。此外,在周一,微软还发布了紧急更新,以解决 2026 年 4 月安全更新后影响 Windows Server 系统的问题。
