微软披露ASP.NET Core更新引入严重安全漏洞微软披露上周的ASP.NET Core更新意外地在该Web框架的数据保护库中引入了一个严重的安全漏洞建议开发者检查自己的应用程序。微软将此问题描述为一次“回归”这是编码术语指的是更新破坏了原本正常工作的功能。在这种情况下引入的是一个CVSS评分为9.1的关键漏洞编号为CVE - 2026 - 40372该漏洞影响通过NuGet包管理器分发的ASP.NET Core数据保护应用程序库。它会影响Linux、macOS和其他非Windows操作系统以及开发者通过UseCustomCryptographicAlgorithms API明确选择使用托管算法的Windows系统。漏洞详情及影响4月14日“补丁星期二”更新中发布的.NET 10.0.6包存在一个漏洞导致ManagedAuthenticatedEncryptor库在计算基于哈希的消息认证码HMAC的验证标签时使用了错误的偏移量。安全哈希计算错误会导致.AspNetCore应用程序的cookie和令牌在不应被验证和信任的情况下通过验证。微软在GitHub安全公告中表示“在这些情况下验证机制的失效可能会使攻击者伪造能够通过数据保护真实性检查的有效负载并解密认证cookie、防伪令牌、临时数据、OIDC状态等之前受保护的有效负载。”当这些长效令牌嵌入应用程序中时会赋予攻击者可乘之机。该公告指出“如果攻击者在漏洞窗口期内使用伪造的有效负载以特权用户身份进行认证他们可能会诱导应用程序向自己颁发合法签名的令牌会话刷新、API密钥、密码重置链接等。”与历史漏洞对比这一漏洞距离ASP.NET遭遇有史以来最严重的漏洞之一仅过去了六个月。去年10月Kestrel Web服务器组件出现了CVSS评分为9.9的CVE - 2025 - 55315漏洞。令人担忧的是当前的公告还将此问题与MS10 - 070相提并论。MS10 - 070是针对CVE - 2010 - 3332的紧急补丁CVE - 2010 - 3332是Windows ASP.NET处理加密错误方式中的一个臭名昭著的零日漏洞在2010年曾引发了一定程度的恐慌。并非简单的更新通常发现漏洞后只需应用更新、采取变通方法或缓解措施即可。在这种情况下服务器版本的更新本应自动完成将运行时更新到已修复的10.0.7版本。然而对于使用流行的Docker容器平台的开发者来说情况更为复杂。对于这些项目数据保护库也嵌入在已构建的应用程序中。要解决这个问题需要更新并重新构建4月14日更新后创建的所有ASP.NET Core应用程序。此外那些在netstandard2.0或net462目标框架资产上使用10.0.x版本来自有缺陷的NuGet包以兼容包括Windows在内的旧操作系统的用户也会受到影响。检测受影响的二进制文件开发者如何知道是否加载了存在漏洞的二进制文件呢微软的安全公告提供了以下建议“检查应用程序日志。最明显的症状是升级到10.0.6版本后用户被注销并且日志中反复出现‘有效负载无效’的错误。检查项目文件。在.csproj文件或依赖于它的包中查找对Microsoft.AspNetCore.DataProtection 10.0.6版本的PackageReference。你也可以运行dotnet list package命令查看已解析的包版本。”应对建议总之开发者应重新构建受影响的应用程序以应用修复版本使所有受影响的认证cookie和令牌过期以消除伪造内容并轮换使用新的ASP.NET Core数据保护令牌。微软建议虽然没有证据表明攻击者已经利用了这个问题但从良好的安全习惯出发也应该检查是否存在意外或异常的登录失败、错误或认证失败情况。