Компанія Microsoft випустила термінове оновлення для ASP.NET Core, щоб усунути вразливість серйозного рівня, яка дозволяє неавтентифікованим зловмисникам отримувати привілеї ADMIN на пристроях, що використовують дану платформу для розробки веб-додатків під Linux або macOS.
Ввечері у вівторок виробник програмного забезпечення повідомив, що вразливість з ідентифікатором CVE-2026-40372 торкнулася версій від 10.0.0 до 10.0.6 пакету Microsoft.AspNetCore.DataProtection, який є частиною фреймворку. Критична помилка виникає через неправильну перевірку криптографічних підписів. Це дозволяє зловмисникам здійснювати підробку аутентифікаційних даних під час процесу HMAC, який використовується для перевірки цілісності та достовірності даних, що обмінюються між клієнтом і сервером.
Увага: Підроблені облікові дані залишаються активними після виправлення
Поки користувачі використовували вразливу версію пакету, вони піддавались ризику атаки, яка дозволяла неавтентифікованим особам отримати чутливі привілеї ADMIN, що призводило до повного компрометації пристрою. Навіть після усунення вразливості, пристрої можуть залишатися скомпрометованими, якщо облікові дані, створені зловмисниками, не будуть видалені.
“Якщо зловмисник використовував підроблені дані для аутентифікації як привілейований користувач протягом вразливого періоду, він міг спричинити видачу легітимно підписаних токенів (для оновлення сесії, API-ключа, посилання для скидання пароля тощо) на власне ім’я,” – зазначила компанія Microsoft. “Ці токени залишаються дійсними після оновлення до версії 10.0.7, якщо не буде змінено ключі DataProtection.”
Microsoft охарактеризовує ASP.NET Core як «високопродуктивний» фреймворк для веб-розробки, призначений для написання .Net додатків, які працюють на Windows, macOS, Linux та Docker. Відкритий код пакету «дозволяє компонентам під час виконання, API, компіляторам і мовам швидко еволюціонувати, зберігаючи при цьому стабільну та підтримувану платформу для роботи додатків.”