Microsoft Patches Critical ASP.NET Core CVE-2026-40372 Privilege Escalation Bug
Mis à jour :
Correction critique : Vulnérabilité d’élévation de privilèges dans ASP.NET Core
Microsoft a publié une mise à jour corrective pour résoudre une faille critique de sécurité affectant ASP.NET Core. Cette vulnérabilité permet à un attaquant non authentifié d’élever ses privilèges et d’accéder au système, notamment sur les environnements non-Windows.
Points clés :
- Cause technique : Une régression dans la bibliothèque
Microsoft.AspNetCore.DataProtectionentraîne une mauvaise vérification des signatures cryptographiques (HMAC), permettant la falsification de charges utiles (payloads). - Impact : Un attaquant peut usurper l’identité d’utilisateurs privilégiés, décrypter des jetons d’authentification ou manipuler des cookies.
- Conditions d’exploitation : L’application doit utiliser
Microsoft.AspNetCore.DataProtection(versions 10.0.0 à 10.0.6) sur des systèmes d’exploitation tels que Linux ou macOS.
Vulnérabilité :
- CVE-2026-40372 : Score CVSS de 9.1/10.
Recommandations :
- Mise à jour : Mettre immédiatement à jour vers ASP.NET Core 10.0.7.
- Rotation des clés : Il est impératif de renouveler (faire pivoter) le « DataProtection key ring » après la mise à jour, car les jetons éventuellement générés par un attaquant avant le correctif pourraient rester valides.