Microsoft corrige une vulnérabilité critique d'ASP.NET Core sur macOS et Linux

Microsoft a publié mardi la version 10.0.7 du package NuGet Microsoft.AspNetCore.DataProtection pour corriger la faille CVE-2026-40372, qui affiche un score de gravité de 9,1 sur 10. Le problème affecte les versions 10.0.0 à 10.0.6 et provient d'un bug de régression apparu lors de la mise à jour vers la version 10.0.6 la semaine dernière. Ce bug a entraîné une vérification défaillante des signatures cryptographiques lors de la validation HMAC, permettant aux attaquants de falsifier des identifiants et d'élever leurs privilèges sur des systèmes non Windows exécutant des applications ASP.NET Core. ASP.NET Core est un framework haute performance destiné aux applications .NET sur diverses plateformes, notamment macOS, Linux et Docker. La vulnérabilité expose les appareils à une compromission totale si elle est exploitée pendant la période de vulnérabilité. Microsoft avertit que même après l'application du correctif, les jetons légitimement signés émis pour les attaquants — tels que les jetons de rafraîchissement de session, les clés API ou les liens de réinitialisation de mot de passe — restent valides à moins que le trousseau de clés DataProtection ne soit renouvelé. Les utilisateurs concernés sont ceux travaillant sous macOS ou Linux dont les applications chargent la version 10.0.6 à l'exécution, en particulier s'ils ne ciblent pas Microsoft.NET.Sdk.Web ou s'ils possèdent certaines références de framework sans avoir désactivé PrunePackageReference. Les applications Windows ne sont pas affectées en raison de chiffreurs par défaut différents. Microsoft recommande instamment de mettre à jour vers la version 10.0.7 immédiatement, de renouveler les clés pour les points de terminaison exposés à Internet et d'auditer les artefacts d'application créés pendant la période d'exposition à la vulnérabilité.