Microsoftは、macOSおよびLinuxアプリケーションに影響を及ぼすASP.NET Coreフレームワークの高リスクな脆弱性に対し、緊急パッチをリリースしました。CVE-2026-40372として追跡されているこの脆弱性は、認証されていない攻撃者が偽造された認証ペイロードを通じてシステム権限を獲得することを可能にします。同社は、リスクを完全に軽減するために直ちなアップデートとキーのローテーションを行うよう推奨しています。
Microsoftは火曜日、CVE-2026-40372を修正するためにNuGetパッケージ「Microsoft.AspNetCore.DataProtection」のバージョン10.0.7をリリースしました。この脆弱性の深刻度スコアは10点満点中9.1です。影響を受けるのはバージョン10.0.0から10.0.6までで、先週行われたバージョン10.0.6へのアップデートに含まれていた回帰バグが原因です。このバグにより、HMAC検証時の暗号署名検証が不適切となり、攻撃者が認証情報を偽造して、ASP.NET Coreアプリを実行している非Windowsシステム上で権限を昇格させることが可能となっていました。ASP.NET Coreは、macOS、Linux、Dockerなどのプラットフォーム上で動作する.NETアプリケーション向けの高性能フレームワークです。この脆弱性が悪用された場合、デバイスが完全に侵害される危険性があります。Microsoftは、パッチを適用した後でも、セッションのリフレッシュ、APIキー、パスワードリセットリンクなど、攻撃者に発行された正当な署名付きトークンは、DataProtectionキーリングがローテーションされない限り有効であると警告しています。影響を受けるのは、実行時にバージョン10.0.6を読み込むmacOSまたはLinux上のアプリケーションで、特にMicrosoft.NET.Sdk.Webをターゲットにしていない場合や、PrunePackageReferenceを無効にせずに特定のフレームワーク参照を使用している場合に該当します。Windowsアプリケーションはデフォルトの暗号化方式が異なるため影響を受けません。Microsoftは、直ちにバージョン10.0.7へアップデートし、インターネットに公開されているエンドポイントのキーをローテーションし、脆弱性にさらされていた期間中に作成されたアプリケーションアーティファクトを監査するよう強く勧告しています。
