أصدرت شركة مايكروسوفت تصحيحاً طارئاً لثغرة أمنية عالية الخطورة في إطار العمل ASP.NET Core، والتي تؤثر على التطبيقات التي تعمل على نظامي macOS وLinux. تسمح الثغرة، التي تم تعقبها تحت الرمز CVE-2026-40372، للمهاجمين غير المصرح لهم بالحصول على صلاحيات نظام (SYSTEM) من خلال تزوير بيانات المصادقة. وتنصح الشركة بتحديث الأنظمة فوراً وتدوير مفاتيح التشفير للتخفيف من المخاطر بشكل كامل.
أصدرت مايكروسوفت يوم الثلاثاء الإصدار 10.0.7 من حزمة NuGet المسماة Microsoft.AspNetCore.DataProtection لإصلاح الثغرة CVE-2026-40372، والتي حصلت على درجة خطورة بلغت 9.1 من 10. تؤثر هذه المشكلة على الإصدارات من 10.0.0 إلى 10.0.6، وتنشأ عن خطأ تراجع (regression bug) في تحديث الأسبوع الماضي إلى الإصدار 10.0.6. تسبب هذا الخطأ في خلل في التحقق من التوقيعات المشفرة أثناء عملية التحقق من HMAC، مما مكن المهاجمين من تزوير بيانات الاعتماد ورفع صلاحياتهم على الأنظمة غير التابعة لنظام ويندوز التي تشغل تطبيقات ASP.NET Core. يُعد ASP.NET Core إطار عمل عالي الأداء لتطبيقات .NET على منصات تشمل macOS وLinux وDocker. وتجعل هذه الثغرة الأجهزة عرضة للاختراق الكامل في حال استغلالها خلال الفترة التي تظل فيها الأنظمة معرضة للخطر. وحذرت مايكروسوفت من أنه حتى بعد تطبيق التصحيح، تظل الرموز المميزة (tokens) التي تم إصدارها للمهاجمين بشكل قانوني—مثل رموز تجديد الجلسة، أو مفاتيح واجهة برمجة التطبيقات، أو روابط إعادة تعيين كلمة المرور—صالحة ما لم يتم تدوير مفتاح التشفير الخاص بـ DataProtection. ويشمل المستخدمون المتأثرون أولئك الذين يستخدمون macOS أو Linux حيث تقوم تطبيقاتهم بتحميل الإصدار 10.0.6 في وقت التشغيل، خاصة إذا لم تستهدف Microsoft.NET.Sdk.Web أو كان لديها مراجع معينة لإطار العمل دون إلغاء الاشتراك في PrunePackageReference. تطبيقات ويندوز غير متأثرة بسبب اختلاف أدوات التشفير الافتراضية. وتحث مايكروسوفت على التحديث إلى الإصدار 10.0.7 فوراً، وتدوير المفاتيح لنقاط النهاية المعرضة للإنترنت، وتدقيق ملفات التطبيقات التي تم إنشاؤها خلال فترة تعرضها للثغرة.
