Microsoft telah merilis tambalan darurat untuk kerentanan tingkat keparahan tinggi pada kerangka kerja ASP.NET Core yang memengaruhi aplikasi di macOS dan Linux. Celah yang dilacak sebagai CVE-2026-40372 ini memungkinkan penyerang yang tidak terautentikasi untuk mendapatkan hak akses SYSTEM melalui payload autentikasi palsu. Perusahaan menyarankan pembaruan segera dan rotasi kunci untuk memitigasi risiko sepenuhnya.
Microsoft merilis paket NuGet Microsoft.AspNetCore.DataProtection versi 10.0.7 pada hari Selasa untuk memperbaiki CVE-2026-40372, yang memiliki skor tingkat keparahan 9,1 dari 10. Masalah ini memengaruhi versi 10.0.0 hingga 10.0.6 dan berasal dari bug regresi pada pembaruan 10.0.6 pekan lalu. Bug ini menyebabkan verifikasi tanda tangan kriptografi yang salah selama validasi HMAC, sehingga memungkinkan penyerang untuk memalsukan kredensial dan meningkatkan hak akses pada sistem non-Windows yang menjalankan aplikasi ASP.NET Core. ASP.NET Core adalah kerangka kerja berkinerja tinggi untuk aplikasi .NET pada platform termasuk macOS, Linux, dan Docker. Kerentanan ini membuat perangkat terbuka terhadap kompromi penuh jika dieksploitasi selama periode kerentanan berlangsung. Microsoft memperingatkan bahwa bahkan setelah penambalan, token yang ditandatangani secara sah yang diberikan kepada penyerang—seperti penyegaran sesi, kunci API, atau tautan pengaturan ulang kata sandi—tetap valid kecuali cincin kunci DataProtection dirotasi. Pengguna yang terdampak mencakup mereka yang menggunakan macOS atau Linux yang aplikasinya memuat versi 10.0.6 saat runtime, terutama jika mereka tidak menargetkan Microsoft.NET.Sdk.Web atau memiliki referensi kerangka kerja tertentu tanpa memilih keluar dari PrunePackageReference. Aplikasi Windows tidak terdampak karena adanya enkriptor standar yang berbeda. Microsoft mendesak pengguna untuk segera memperbarui ke versi 10.0.7, melakukan rotasi kunci untuk titik akhir yang terpapar ke internet, serta mengaudit artefak aplikasi yang dibuat selama periode paparan kerentanan.