深度分析
ASP.NET Core(Microsoft.AspNetCore.DataProtection)10.0.0–10.0.6 HMAC 驗證漏洞解析與復原建議
微軟針對 ASP.NET Core 的 Microsoft.AspNetCore.DataProtection 套件發布緊急修補,修正一項可讓未經驗證者在 HMAC 驗證階段偽造認證有效載荷、進而可能取得 SYSTEM 權限的高風險漏洞(CVE-2026-40372)。
深度分析
微軟針對 ASP.NET Core 的 Microsoft.AspNetCore.DataProtection 套件發布緊急修補,修正一項可讓未經驗證者在 HMAC 驗證階段偽造認證有效載荷、進而可能取得 SYSTEM 權限的高風險漏洞(CVE-2026-40372)。
深度分析
微軟發布緊急修補針對ASP.NET Core的DataProtection套件。該漏洞由簽章驗證錯誤引發,會在HMAC驗證流程中允許未驗證攻擊者偽造認證負載並通過驗證。若遭利用攻擊者可能取得SYSTEM等高權限,且已簽發的憑證在未輪替金鑰前仍會有效。