微软紧急发布了针对ASP.NET Core的高危漏洞(CVE-2026-40372)补丁,该漏洞影响macOS和Linux系统,允许未认证攻击者通过加密签名伪造获取SYSTEM权限。漏洞影响Microsoft.AspNetCore.DataProtection NuGet包的10.0.0-10.0.6版本。即使打补丁后,若未通过密钥环轮换清除攻击者创建的认证令牌,系统可能仍处于被入侵状态。
背景
ASP.NET Core是微软的开源Web开发框架,用于在Windows、macOS、Linux和Docker上构建跨平台应用程序。DataProtection包提供加密服务用于保护认证令牌和敏感数据。
- 来源
- Ars Technica
- 发布时间
- 2026年4月23日 03:32
- 评分
- 8.0 / 10