Microsoft zakrpio kritičan ASP.NET Core propust za podizanje privilegija
Microsoft je objavio vanredno ažuriranje za ranjivost CVE-2026-40372 u ASP.NET Core okruženju, koja može omogućiti napadaču podizanje privilegija preko mreže. Problem je vezan za nepravilnu proveru kriptografskog potpisa u Microsoft.AspNetCore.DataProtection paketima od verzije 10.0.0 do 10.0.6, a pogođene su aplikacije koje koriste tu biblioteku na Linux, macOS i drugim ne-Windows sistemima. Uspešna zloupotreba može omogućiti falsifikovanje payload-a koji prolaze proveru autentičnosti, kao i čitanje ranije zaštićenih podataka iz autentikacionih kolačića, antiforgery tokena i sličnih mehanizama.
Problem ovde nije samo jedna biblioteka, već činjenica da propust pogađa sloj na kome počivaju kolačići sesije, tokeni i drugi poverljivi podaci vezani za identitet korisnika. Ako je aplikacija u ranjivom prozoru izdala legitimno potpisane tokene napadaču, samo ažuriranje možda neće biti dovoljno bez dodatnih koraka oko rotacije ključeva i poništavanja postojećih tokena.
- Odmah ažurirati ASP.NET Core i Microsoft.AspNetCore.DataProtection na verziju 10.0.7 ili noviju
- Proveriti da li aplikacija zaista učitava ranjivu NuGet biblioteku u radu, a ne samo da je ima u zavisnostima
- Dati prioritet Linux i macOS okruženjima koja koriste pogođene DataProtection pakete
- Rotirati DataProtection key ring nakon zakrpe kako bi ranije izdati tokeni izgubili važnost
- Pregledati autentikacione tokene, kolačiće i sumnjive prijave iz perioda dok je ranjiva verzija bila aktivna