Microsoft、macOS および Linux ASP.NET の脅威に対する緊急アップデートをリリース

Microsoft は、Web 開発フレームワークを使用して Linux または macOS アプリケーションを実行するデバイスで、認証されていない攻撃者が SYSTEM 権限を取得することを可能にする重大度の高い脆弱性を修正するために、ASP.NET Core の緊急パッチをリリースしました。

ソフトウェアメーカーは火曜日遅く、CVE-2026-40372として追跡されるこの脆弱性は、フレームワークの一部であるMicrosoft.AspNetCore.DataProtection NuGetのバージョン10.0.0から10.0.6に影響を与えると発表した。この重大な欠陥は、暗号署名の検証の誤りに起因します。これを悪用すると、認証されていない攻撃者が、クライアントとサーバー間で交換されるデータの整合性と信頼性を検証するために使用される HMAC 検証プロセス中に認証ペイロードを偽造できるようになります。

注意: スプーフィングされた資格情報はパッチ後も存続します

ユーザーが脆弱なバージョンのパッケージを実行している限り、認証されていない個人が機密の SYSTEM 権限を取得し、基盤となるマシンが完全に侵害される可能性がある攻撃にさらされることになります。脆弱性がパッチされた後でも、脅威アクターによって作成された認証資格情報が削除されない場合、デバイスが侵害される可能性があります。

「攻撃者が脆弱な期間中に特権ユーザーとして認証するために偽造ペイロードを使用した場合、アプリケーションに正当に署名されたトークン（セッション更新、API キー、パスワード リセット リンクなど）を発行させることが可能です」と Microsoft は述べています。 「これらのトークンは、DataProtection キーチェーンがローテーションされない限り、10.0.7 にアップグレードした後も引き続き有効です。」

Microsoft は、ASP.NET Core を、Windows、macOS、Linux、および Docker 上で実行される .Net アプリケーションを作成するための「高性能」Web 開発フレームワークであると説明しています。オープンソース パッケージは、「ランタイム コンポーネント、API、コンパイラ、および言語を有効にするように設計されています」 [to] アプリケーションを実行し続けるための安定した互換性のあるプラットフォームを提供しながら、迅速に進化します。」