Microsoft har släppt en akut säkerhetsuppdatering för en sårbarhet med hög allvarlighetsgrad i ramverket ASP.NET Core som påverkar applikationer på macOS och Linux. Sårbarheten, som spåras som CVE-2026-40372, tillåter oautentiserade angripare att erhålla SYSTEM-behörigheter genom förfalskade autentiseringsnyttolaster. Företaget rekommenderar omedelbar uppdatering samt rotering av nycklar för att helt begränsa riskerna.
Microsoft släppte på tisdagen version 10.0.7 av NuGet-paketet Microsoft.AspNetCore.DataProtection för att åtgärda CVE-2026-40372, som har en allvarlighetsgrad på 9,1 av 10. Problemet påverkar versionerna 10.0.0 till och med 10.0.6 och härrör från en regressionsbugg i förra veckans uppdatering till 10.0.6. Denna bugg orsakade felaktig verifiering av kryptografiska signaturer vid HMAC-validering, vilket gjorde det möjligt för angripare att förfalska autentiseringsuppgifter och eskalera privilegier på icke-Windows-system som kör ASP.NET Core-appar. ASP.NET Core är ett högpresterande ramverk för .NET-applikationer på plattformar som inkluderar macOS, Linux och Docker. Sårbarheten gör enheter sårbara för fullständig kompromettering om de utnyttjas under den utsatta perioden. Även efter uppdatering förblir legitimt signerade tokens som utfärdats till angripare – såsom sessionsuppdateringar, API-nycklar eller länkar för lösenordsåterställning – giltiga såvida inte DataProtection-nyckelringen roteras, varnar Microsoft. Berörda användare inkluderar de på macOS eller Linux vars applikationer laddar version 10.0.6 vid körning, särskilt om de inte riktar sig mot Microsoft.NET.Sdk.Web eller har vissa ramverksreferenser utan att välja bort PrunePackageReference. Windows-appar påverkas inte på grund av andra standardkrypteringsmetoder. Microsoft uppmanar användare att omedelbart uppdatera till 10.0.7, rotera nycklar för internetexponerade slutpunkter samt granska applikationsartefakter som skapats under den tid sårbarheten varit exponerad.