Оценка 9.1 из 10. Рассказываем о критической уязвимости в ASP.NET Core, которую Microsoft создала сама

Неожиданная ошибка в обновлении привела к тому, что защитный механизм сам открыл дверь злоумышленникам. Microsoft срочно выпустила внеплановые исправления, чтобы закрыть опасную уязвимость в платформе ASP.NET Core.

Проблема получила идентификатор CVE-2026-40372 (оценка по CVSS: 9.1). Ошибка скрывалась в криптографических интерфейсах Data Protection и позволяла атакующим без авторизации получить права уровня SYSTEM. Для этого достаточно подделать файлы cookie аутентификации и обойти проверку подлинности.

Сбой обнаружили, когда пользователи начали жаловаться. После того как установили обновление .NET 10.0.6, приложения начали некорректно расшифровывать данные. Причина оказалась в регрессии в пакетах Microsoft.AspNetCore.DataProtection версий с 10.0.0 по 10.0.6. Механизм проверки целостности вычислял контрольную подпись по неверным данным, а иногда и вовсе игнорировал результат.

Из-за этого защита принимала поддельные данные за настоящие. Злоумышленник мог не только читать ранее защищённые данные – например, cookie, токены защиты форм или параметры авторизации, – но и создавать новые. Если атакующий успевал выдать себя за привилегированного пользователя, система могла сама выдать ему действительные токены: ключи доступа, ссылки для смены пароля или обновления сеанса. Такие токены остаются рабочими даже после того как установят исправление, если не обновить ключи шифрования. Уязвимость также позволяет читать файлы и изменять данные, но не влияет на доступность системы.

В компании рекомендуют как можно быстрее обновить пакет Microsoft.AspNetCore.DataProtection до версии 10.0.7 и заново развернуть приложения. После этого система начнёт автоматически отклонять поддельные данные. Дополнительно стоит обновить ключи защиты, чтобы лишить силы уже созданные злоумышленниками токены.