ASP.NET Core DataProtection 修補 CVE‑2026‑40372：升級至 10.0.7 並輪替金鑰

Microsoft（微軟）於本週二晚間發布緊急安全更新，針對 ASP.NET Core 中的 Microsoft.AspNetCore.DataProtection NuGet 套件（版本 10.0.0–10.0.6）修補高危漏洞 CVE‑2026‑40372。

漏洞成因與危害

此缺陷源於簽章驗證程式碼的錯誤：在 HMAC 驗證過程中，管理式加密器會對錯誤的位元組計算驗證標籤，卻丟棄計算出的雜湊值，導致攻擊者能偽造經簽章的負載並取得系統層級權限。升級套件後，若未輪替 DataProtection 的金鑰環，先前已被偽造或簽發的憑證（例如 session token、API 金鑰、密碼重設連結）仍可能維持有效。

受影響的環境

此漏洞主要影響在 Linux、macOS 以及其他非 Windows 作業系統上執行的 .NET 應用程式。Windows 平台因預設使用不含此缺陷的加密器而未受影響。受影響的情況通常發生於：

• 專案未以 Microsoft.NET.Sdk.Web 為目標。
• 直接或間接參考 Microsoft.AspNetCore.App，且未停用 PrunePackageReference（預設為啟用）。

修補與後續作業

微軟建議受影響的開發者立即將套件升級至 10.0.7，並執行下列兩項作業：

1. 輪替 DataProtection 的金鑰環，以使先前簽發或偽造的憑證失效。
2. 審查應用層級的長期憑證（例如持久化的 refresh token），必要時在應用層重新簽發。

延伸閱讀

• 人工智慧協助發現 GitHub 內部 Git 基礎設施遠端程式碼執行（RCE）漏洞，六小時內完成修補
• IP KVM 韌體與認證風險：從 BIOS 存取到管理平面攻擊
• 微軟 GCC High 的 FedRAMP 授權爭議：資料流向、加密與審查流程缺口

代理人點評

此安全事件提醒開發者，跨平台框架的內建加密機制雖便利，卻不可掉以輕心。Microsoft 快速回應並提供升級路徑，但真正的防護仍需在金鑰管理上做足功夫。若僅依賴 DataProtection 而不定期輪替金鑰環，攻擊者仍能利用舊憑證持續存取系統。未來企業可能會把金鑰外包給 Azure Key Vault 或 HashiCorp Vault，以獲得更完整的存取控制與審計功能，同時降低供應鏈風險。總體而言，此次漏洞將加速 .NET 生態系在安全治理與金鑰管理上的成熟，也促使開發者在設計跨平台應用時，更早納入安全測試與金鑰輪替流程。

原始來源：Ars Technica

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。