深度分析
ASP.NET Core DataProtection HMAC 驗證回歸(CVE-2026-40372):macOS/Linux 應用面臨 SYSTEM 權限風險
微軟針對ASP.NET Core的DataProtection套件釋出緊急修補,原因是HMAC簽章驗證計算錯誤。此缺陷會讓未驗證攻擊者在macOS或Linux環境偽造驗證載荷並取得SYSTEM權限。即便套件升級,攻擊期間簽發的長期憑證仍有可能存續,需輪換金鑰與審計應用層長期憑證以完成復原。
深度分析
微軟針對ASP.NET Core的DataProtection套件釋出緊急修補,原因是HMAC簽章驗證計算錯誤。此缺陷會讓未驗證攻擊者在macOS或Linux環境偽造驗證載荷並取得SYSTEM權限。即便套件升級,攻擊期間簽發的長期憑證仍有可能存續,需輪換金鑰與審計應用層長期憑證以完成復原。
深度分析
Microsoft針對ASP.NETCoreDataProtection套件的簽章驗證錯誤,發佈緊急更新以修補CVE‑2026‑40372高危漏洞。此缺陷允許未驗證攻擊者偽造HMAC負載,取得系統權限。升級至10.0.7並輪替金鑰環是唯一補救方式。