Microsoft merilis patch darurat untuk kelemahan kritis ASP.NET

Microsoft telah merilis pembaruan keamanan out-of-band (OOB) untuk menambal kerentanan eskalasi hak istimewa ASP.NET Core yang penting.

Kelemahan keamanan (dilacak sebagai CVE-2026-40372) ditemukan di API kriptografi Perlindungan Data Inti ASP.NET, dan dapat memungkinkan penyerang yang tidak diautentikasi mendapatkan hak istimewa SISTEM pada perangkat yang terpengaruh dengan memalsukan cookie autentikasi.

Microsoft menemukan kelemahan tersebut setelah pengguna melaporkan bahwa dekripsi gagal di aplikasi mereka setelah menginstal rilis pembaruan .NET 10.0.6 selama Patch Tuesday bulan ini.

“Regresi dalam paket NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 menyebabkan enkripsi terotentikasi terkelola menghitung tag validasi HMAC pada byte payload yang salah dan kemudian membuang hash yang dihitung dalam beberapa kasus,” kata Microsoft dalam catatan rilis .NET 10.0.7.

“Dalam kasus ini, validasi yang rusak dapat memungkinkan penyerang memalsukan muatan yang lolos pemeriksaan keaslian DataProtection, dan mendekripsi muatan yang sebelumnya dilindungi dalam cookie autentikasi, token antipemalsuan, TempData, status OIDC, dll.

“Jika penyerang menggunakan muatan palsu untuk mengautentikasi sebagai pengguna yang memiliki hak istimewa selama masa rentan, mereka mungkin telah mendorong aplikasi untuk mengeluarkan token yang ditandatangani secara sah (penyegaran sesi, kunci API, tautan pengaturan ulang kata sandi, dll.) kepada dirinya sendiri. Token tersebut tetap valid setelah ditingkatkan ke 10.0.7 kecuali gantungan kunci DataProtection diputar.”

Seperti yang dijelaskan lebih lanjut oleh Microsoft dalam a Penasihat keamanan hari Selasakerentanan ini juga memungkinkan penyerang mengungkapkan file dan mengubah data, namun tidak dapat memengaruhi ketersediaan sistem.

Pada hari Selasa, manajer program senior Rahul Bhandari diperingatkan semua pelanggan yang aplikasinya menggunakan ASP.NET Core Data Protection perbarui paket Microsoft.AspNetCore.DataProtection ke 10.0.7 sesegera mungkin, lalu terapkan ulang untuk memperbaiki rutinitas validasi dan memastikan bahwa muatan palsu apa pun ditolak secara otomatis.

Informasi lebih lanjut mengenai platform, paket, dan konfigurasi aplikasi yang terpengaruh dapat ditemukan di pengumuman aslinya.

Pada bulan Oktober, Microsoft juga menambal bug penyelundupan permintaan HTTP (CVE-2025-55315) di server web Kestrel yang ditandai dengan peringkat tingkat keparahan “tertinggi” untuk kelemahan keamanan ASP.NET Core.

Eksploitasi CVE-2025-55315 yang berhasil memungkinkan penyerang terautentikasi membajak kredensial pengguna lain, melewati kontrol keamanan front-end, atau membuat server crash.

Pada hari Senin, Microsoft merilis serangkaian pembaruan out-of-band lainnya untuk mengatasi masalah yang memengaruhi sistem Windows Server setelah menginstal pembaruan keamanan April 2026.