Microsoft - CVE-2026-40372

Date de publication :

Il s'agit d'une vulnérabilité dans le composant Microsoft.AspNetCore.DataProtection version 10.0.6 d'ASP.NET Core.

ASP.NET Core est un framework web open-source et multiplateforme développé par Microsoft, utilisé pour la création d'applications web, d'API REST et de services backend sur Windows, Linux et macOS.

Le module de protection des données utilise une vérification cryptographique de signature défaillante lors du déchiffrement des données protégées. Sur les systèmes Linux, macOS ou Windows avec algorithmes managés explicitement activés, la bibliothèque NuGet chargée en runtime ne valide pas correctement l'intégrité des charges utiles chiffrées. Un attaquant distant non authentifié peut soumettre des charges utiles forgées qui passent la vérification, contournant ainsi les contrôles de session et d'authentification de l'application.

Elle permet une élévation de privilèges jusqu'au niveau SYSTÈME, ainsi qu'une atteinte à la confidentialité et à l'intégrité des données traitées par l'application.

CVE-2026-40372

[Score CVSS v3.1 : 9.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

Élévation de privilèges

Exploitation

La vulnérabilité exploitée est du type
CWE-347 : Improper Verification of Cryptographic Signature

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   Microsoft.AspNetCore.DataProtection version 10.0.6 (NuGet), sur Linux, macOS, ou Windows avec algorithmes managés explicitement activés
•   Microsoft.AspNetCore.DataProtection versions 10.0.0 jusqu'à 10.0.6, sur net462 / netstandard2.0, tous systèmes d'exploitation

Contournement provisoire

•   S'assurer que l'application est déployée en mode framework-dependent avec le shared framework ASP.NET Core installé en version égale ou supérieure à la version du PackageReference, afin que la copie NuGet vulnérable ne soit jamais chargée en runtime
•   Ne pas activer explicitement les algorithmes managés via UseCustomCryptographicAlgorithms sur Windows

Solutions ou recommandations

ASP.NET Core 10.0 version 10.0.7 et supérieures (mise à jour de sécurité publiée le 21 avril 2026)

Liens