Microsoft в срочном порядке закрыла опасную уязвимость в ASP.NET, которая фактически открывала злоумышленникам дверь в систему без пароля. Речь о баге с индексом CVE-2026-40372 — и звучит он не менее тревожно, чем выглядит.
Проблема обнаружилась в компоненте Microsoft.AspNetCore.DataProtection версий с 10.0.0 по 10.0.6. Ошибка скрывалась в механизме HMAC, отвечающем за целостность данных. Из-за сбоя атакующие могли подделывать аутентификационные данные и обходить защиту, получая привилегии уровня системы.
Под основной удар попали приложения на Linux и macOS. В Windows ситуация оказалась спокойнее — там по умолчанию используются другие криптографические алгоритмы, что уберегло систему от эксплуатации уязвимости.
При этом установка патча не гарантирует полной безопасности. В Microsoft предупреждают, что злоумышленники могли заранее получить действующие токены доступа, которые продолжат работать даже после обновления.
Компания советует не ограничиваться установкой исправления. Рекомендуется срочно провести ротацию ключей безопасности и внимательно проверить систему на признаки компрометации — на всякий случай, если кто-то уже успел «погулять» внутри.
Источник: www.goha.ru