深度分析 ASP.NET Core DataProtection HMAC 驗證回歸(CVE-2026-40372):macOS/Linux 應用面臨 SYSTEM 權限風險 微軟針對ASP.NET Core的DataProtection套件釋出緊急修補,原因是HMAC簽章驗證計算錯誤。此缺陷會讓未驗證攻擊者在macOS或Linux環境偽造驗證載荷並取得SYSTEM權限。即便套件升級,攻擊期間簽發的長期憑證仍有可能存續,需輪換金鑰與審計應用層長期憑證以完成復原。
