聚焦源代码安全网罗国内外最新资讯编译代码卫士微软发布紧急更新修复了一个严重的 ASP.NET Core 权限提升漏洞 CVE-2026-40372。该漏洞位于 ASP.NET Core Data Protection 加密 API 中可导致未经身份认证的攻击者通过伪造身份认证 cookie在受影响设备上获得系统权限。在本月补丁星期二期间用户报告安装 .NET 10.0.6 更新后应用程序中出现解密失败问题后微软发现该漏洞。微软在 .NET 10.0.7 的发布说明中表示“Microsoft.AspNetCore.DataProtection 10.0.0 至 10.0.6 NuGet 包中存在一个回归问题导致托管认证加密器在对负载的错误字节计算 HMAC 验证标签并且在某些情况下会丢弃计算出的哈希值。在这些情况下该认证漏洞可导致攻击者伪造能够通过 DataProtection 真实性检查的负载并解密身份验证 cookie、防伪令牌、TempData、OIDC 状态等中先前受保护的负载。”微软在周二发布的安全公告中进一步解释称“如果攻击者在存在漏洞的时间窗口内利用伪造的负载以特权用户身份通过身份认证可能诱使应用程序向自己颁发合法签名的令牌如会话刷新令牌、API 密钥、密码重置链接等。这些令牌在升级到 10.0.7 后仍然有效除非更换 DataProtection 密钥环。”该漏洞还可能使攻击者泄露文件和修改数据但不会影响系统的可用性。周二微软高级项目经理 Rahul Bhandari 警告所有使用 ASP.NET Core Data Protection 的客户尽快将 Microsoft.AspNetCore.DataProtection 包更新到 10.0.7然后重部署修复验证逻辑并确保任何伪造的负载都被自动拒绝。有关受影响平台、软件包及应用程序配置的更多信息可参阅原始公告。去年十月份微软还修复了 Kestrel Web 服务器中的一个 HTTP 请求走私漏洞CVE-2025-55315它被评定为ASP.NET Core 中“有史以来最高”的严重漏洞。成功利用 CVE-2025-55315 可使经过身份认证的攻击者劫持其它用户的凭据、绕过前端安全控制或导致服务器崩溃。本周一微软发布了另一组带外更新解决在安装 2026 年 4 月安全更新后影响 Windows Server 系统的问题。开源卫士试用地址https://oss.qianxin.com/#/login代码卫士试用地址https://sast.qianxin.com/#/login推荐阅读微软4月补丁星期二值得关注的漏洞微软3月补丁星期二值得关注的漏洞微软AI已用于攻击的每个阶段微软2月补丁星期二值得关注的漏洞原文链接https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/题图Pixabay License本文由奇安信编译不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。奇安信代码卫士 (codesafe)国内首个专注于软件开发安全的产品线。觉得不错就点个 “在看” 或 赞” 吧~