文章总结： 微软紧急修复ASP.NETCoreDataProtection中的严重权限提升漏洞CVE-2026-40372，该漏洞可让攻击者伪造身份认证cookie获取系统权限。微软建议用户立即更新至10.0.7版本并重新部署应用，同时更换DataProtection密钥环以彻底消除风险。文档还提及此前修复的Kestrel服务器请求走私漏洞CVE-2025-55315作为对比。 综合评分： 90 文章分类： 漏洞分析,应急响应,漏洞预警,解决方案,应用安全

微软紧急修复严重的 ASP.NET 漏洞

Sergiu Gatlan Sergiu Gatlan

代码卫士

2026年4月23日 18:40 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软发布紧急更新，修复了一个严重的 ASP.NET Core 权限提升漏洞 CVE-2026-40372。该漏洞位于 ASP.NET Core Data Protection 加密 API 中，可导致未经身份认证的攻击者通过伪造身份认证 cookie，在受影响设备上获得系统权限。

在本月补丁星期二期间，用户报告安装 .NET 10.0.6 更新后应用程序中出现解密失败问题后，微软发现该漏洞。微软在 .NET 10.0.7 的发布说明中表示：“Microsoft.AspNetCore.DataProtection 10.0.0 至 10.0.6 NuGet 包中存在一个回归问题，导致托管认证加密器在对负载的错误字节计算 HMAC 验证标签，并且在某些情况下会丢弃计算出的哈希值。在这些情况下，该认证漏洞可导致攻击者伪造能够通过 DataProtection 真实性检查的负载，并解密身份验证 cookie、防伪令牌、TempData、OIDC 状态等中先前受保护的负载。”

微软在周二发布的安全公告中进一步解释称：“如果攻击者在存在漏洞的时间窗口内，利用伪造的负载以特权用户身份通过身份认证，可能诱使应用程序向自己颁发合法签名的令牌（如会话刷新令牌、API 密钥、密码重置链接等）。这些令牌在升级到 10.0.7 后仍然有效，除非更换 DataProtection 密钥环。”该漏洞还可能使攻击者泄露文件和修改数据，但不会影响系统的可用性。

周二，微软高级项目经理 Rahul Bhandari 警告所有使用 ASP.NET Core Data Protection 的客户，尽快将 Microsoft.AspNetCore.DataProtection 包更新到 10.0.7，然后重部署，修复验证逻辑并确保任何伪造的负载都被自动拒绝。有关受影响平台、软件包及应用程序配置的更多信息，可参阅原始公告。

去年十月份，微软还修复了 Kestrel Web 服务器中的一个 HTTP 请求走私漏洞（CVE-2025-55315），它被评定为ASP.NET Core 中“有史以来最高”的严重漏洞。成功利用 CVE-2025-55315 可使经过身份认证的攻击者劫持其它用户的凭据、绕过前端安全控制或导致服务器崩溃。

本周一，微软发布了另一组带外更新，解决在安装 2026 年 4 月安全更新后影响 Windows Server 系统的问题。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

微软4月补丁星期二值得关注的漏洞

微软3月补丁星期二值得关注的漏洞

微软：AI已用于攻击的每个阶段

微软2月补丁星期二值得关注的漏洞

原文链接

https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Sergiu Gatlan Sergiu Gatlan《微软紧急修复严重的 ASP.NET 漏洞》