CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Actualizare de urgență pentru Microsoft .NET 10.0.7

22 aprilie 2026

Sursă: https://cybersecuritynews.com

Microsoft a lansat o actualizare de securitate out-of-band (OOB) de urgență pentru .NET 10, lansând versiunea 10.0.7 pe 21 aprilie 2026, pentru a remedia o vulnerabilitate critică de escaladare a privilegiilor descoperită în pachetul NuGet Microsoft.AspNetCore.DataProtection.

Aceste probleme au fost urmărite public în raportul ASP.NET Core nr. 66335, unde dezvoltatorii afectați au semnalat regresii la nivel de decriptare la scară largă. În timpul analizării acestor rapoarte, inginerii Microsoft au descoperit o problemă mai complexă: o regresie de securitate care a introdus o vulnerabilitate exploatabilă în toate versiunile pachetului, de la 10.0.0 până la 10.0.6.

Vulnerabilitatea este identificată ca CVE-2026-40372 și se află în modulul de criptare gestionat și autentificat din pachetul Microsoft.AspNetCore.DataProtection.

În versiunile afectate, modulul de criptare putea calcula eticheta de validare HMAC (Hash-based Message Authentication Code) pe octeți incorecti ai payload-ului și, ulterior, putea ignora hash-ul calculat.

Această gestionare criptografică necorespunzătoare ar putea permite unui atacator să manipuleze datele protejate în moduri care ocolesc validarea integrității, rezultând în elevarea privilegiilor.

Vulnerabilitatea compromite efectiv o garanție de securitate esențială a stivei de protecție a datelor ASP.NET Core, un framework utilizat pe scară largă pentru criptarea cookie-urilor, a token-urilor și a stării sensibile a aplicațiilor.

Vulnerabilitatea afectează orice aplicație care utilizează pachetul Microsoft.AspNetCore.DataProtection în versiunile .NET de la 10.0.0 până la 10.0.6.

Având în vedere că ASP.NET Core Data Protection este o componentă fundamentală utilizată pentru autentificarea prin cookie-uri, token-uri anti-falsificare și criptarea TempData, suprafața potențială de atac este semnificativă. Aplicațiile care gestionează sesiuni de utilizator sau date protejate fără a fi actualizate sunt expuse riscului de atacuri de escaladare a privilegiilor.

Microsoft recomandă cu insistență tuturor dezvoltatorilor și instituțiilor care utilizează versiunile afectate să actualizeze imediat pachetul Microsoft.AspNetCore.DataProtection la versiunea 10.0.7.

Sursă: https://cybersecuritynews.com/emergency-net-10-0-7-update-patch/

Ai mai putea citi

Peste 1.300 de servere Microsoft SharePoint sunt vulnerabile la atacuri de spoofing

23 aprilie 2026

Noua campanie Mirai exploatează o vulnerabilitate de tip RCE în routerele EoL D-Link

23 aprilie 2026

Actualizare de urgență pentru Microsoft .NET 10.0.7

22 aprilie 2026

CISA avertizează cu privire la vulnerabilitățile din Cisco Catalyst SD-WAN Manager

22 aprilie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |