微软已针对 .NET 10 发布了紧急带外 (OOB) 安全更新于 2026 年 4 月 21 日发布了 10.0.7 版本以解决在Microsoft.AspNetCore.DataProtectionNuGet 包中发现的严重权限提升漏洞。在标准的“周二补丁日”.NET 10.0.6 更新之后客户开始报告其 ASP.NET Core 应用程序解密失败因此促使了此次带外发布。这些问题已在 ASP.NET Core 问题 #66335 中公开跟踪受影响的开发人员在该问题中指出存在广泛的解密回归问题。在调查这些报告的过程中微软工程师发现了一个更深层次、更严重的问题一个安全回归问题该问题在 10.0.0 到 10.0.6 的所有版本中引入了一个可利用的漏洞。紧急 .NET 10.0.7 更新该漏洞被追踪为 CVE-2026-40372存在于软件包中的托管认证加密器中Microsoft.AspNetCore.DataProtection。在受影响的版本中加密器可能会对有效载荷的错误字节计算其 HMAC基于哈希的消息认证码验证标签并随后丢弃计算出的哈希值。这种加密处理不当可能允许攻击者以绕过完整性验证的方式篡改受保护的数据从而提升权限。该漏洞实际上破坏了 ASP.NET Core 数据保护堆栈的核心安全保障而该框架被广泛用于加密 cookie、令牌和敏感的应用程序状态。Microsoft.AspNetCore.DataProtection该漏洞会影响在 .NET 版本 10.0.0 到 10.0.6 上使用该程序包的任何应用程序。鉴于 ASP.NET Core 数据保护是用于 cookie 身份验证、防伪令牌和 TempData 加密的基础组件其潜在攻击面非常大。未升级而处理用户会话或受保护有效负载的应用程序面临权限提升攻击的风险。微软强烈敦促所有运行受影响版本的开发人员和组织立即将软件包更新Microsoft.AspNetCore.DataProtection到 10.0.7 版本。更新后的 SDK 和运行时环境可从 .NET 10.0 官方下载页面下载。安装完成后管理员应运行dotnet --info以确认运行时版本反映为 10.0.7。使用更新后的 NuGet 包或容器镜像重新构建并重新部署所有应用程序。查阅服务器部署的Linux软件包安装指南。容器镜像也已更新可通过 Microsoft 容器注册表获取。10.0 版本系列的已知问题已记录在官方 .NET Core GitHub 代码库中。此次紧急补丁延续了微软在发现严重回归问题时在常规的“补丁星期二”周期之外加快安全修复速度的惯例。2026 年 4 月的“周二补丁日”修复了微软产品组合中的多个权限提升漏洞凸显了 Windows 和 .NET 生态系统面临的活跃威胁形势。建议开发人员启用 NuGet 包自动更新通知以便及时获取未来的开箱即用 (OOB) 版本更新。