Microsoft выпустила экстренный патч для своего ASP.NET Core, чтобы исправить уязвимость высокой степени опасности, которая позволяет неавторизованным атакующим получить привилегии SYSTEM на устройствах, использующих веб-фреймворк для запуска приложений Linux или macOS.

Производитель программного обеспечения сообщил во вторник вечером, что уязвимость, отслеживаемая как CVE-2026-40372, затрагивает версии 10.0.0 через 10.0.6 пакета Microsoft.AspNetCore.DataProtectionNuGet, который является частью фреймворка. Критическая ошибка возникает из-за неправильной верификации криптографических подписей. Её можно использовать для подделки аутентификационных данных во время процесса HMAC-проверки, который используется для проверки целостности и аутентичности данных, обмениваемых между клиентом и сервером.

Осторожно: поддельные учетные данные сохраняются после исправления

Во время работы с уязвимой версией пакета пользователи были открыты для атаки, которая позволяла неавторизованным лицам получить чувствительные привилегии SYSTEM, что позволяло полностью скомпрометировать основную машину. Даже после исправления уязвимости устройства могут по-прежнему быть скомпрометированы, если аутентификационные данные, созданные злоумышленником, не будут удалены.

«Если атакующий использовал поддельные данные для аутентификации в качестве привилегированного пользователя во время уязвимого окна, он мог заставить приложение выдать себе законно подписанные токены (обновление сессии, ключ API, ссылка на сброс пароля и т. д.)», — заявила Microsoft. «Эти токены остаются действительными после обновления до 10.0.7, если не повернуть кольцо ключей DataProtection».

Microsoft описывает ASP.NET Core как «фреймворк веб-разработки с высокой производительностью» для написания приложений .Net, которые работают на Windows, macOS, Linux и Docker. Открытый пакет «предназначен для того, чтобы позволить компонентам времени выполнения, API, компиляторам и языкам быстро эволюционировать, обеспечивая при этом стабильную и поддерживаемую платформу для запуска приложений».

Microsoft released an emergency patch for its ASP.NET Core to fix a high-severity vulnerability that allows unauthenticated attackers to gain SYSTEM privileges on devices that use the Web development framework to run Linux or macOS apps.

The software makersaidTuesday evening that the vulnerability, tracked as CVE-2026-40372, affects versions 10.0.0 through 10.0.6 of theMicrosoft.AspNetCore.DataProtectionNuGet, a package that’s part of the framework. The critical flaw stems from a faulty verification of cryptographic signatures. It can be exploited to allow unauthenticated attackers to forge authentication payloads during theHMAC validationprocess, which is used to verify the integrity and authenticity of data exchanged between a client and a server.

Beware: forged credentials survive patching

During the time users ran a vulnerable version of the package, they were left open to an attack that would allow unauthenticated people to gain sensitive SYSTEM privileges that would allow full compromise of the underlying machine. Even after the vulnerability is patched, devices may still be compromised if authentication credentials created by a threat actor aren’t purged.

“If an attacker used forged payloads to authenticate as a privileged user during the vulnerable window, they may have induced the application to issue legitimately-signed tokens (session refresh, API key, password reset link, etc.) to themselves,” Microsoft said. “Those tokens remain valid after upgrading to 10.0.7 unless the DataProtection key ring is rotated.”

MicrosoftdescribesASP.NET Core as a “high-performance” Web development framework for writing .Net apps that run on Windows, macOS, Linux, and Docker. The open-source package is “designed to allow runtime components, APIs, compilers, and languages [to] evolve quickly, while still providing a stable and supported platform to keep apps running.”