微软ASP.NET Core更新引入严重安全漏洞，开发者需重新构建应用程序

微软披露ASP.NET Core更新引入严重安全漏洞

微软披露，上周的ASP.NET Core更新意外地在该Web框架的数据保护库中引入了一个严重的安全漏洞，建议开发者检查自己的应用程序。微软将此问题描述为一次“回归”，这是编码术语，指的是更新破坏了原本正常工作的功能。在这种情况下，引入的是一个CVSS评分为9.1的关键漏洞，编号为CVE - 2026 - 40372，该漏洞影响通过NuGet包管理器分发的ASP.NET Core数据保护应用程序库。它会影响Linux、macOS和其他非Windows操作系统，以及开发者通过UseCustomCryptographicAlgorithms API明确选择使用托管算法的Windows系统。

漏洞详情及影响

4月14日“补丁星期二”更新中发布的.NET 10.0.6包存在一个漏洞，导致ManagedAuthenticatedEncryptor库在计算基于哈希的消息认证码（HMAC）的验证标签时使用了错误的偏移量。安全哈希计算错误会导致.AspNetCore应用程序的cookie和令牌在不应被验证和信任的情况下通过验证。微软在GitHub安全公告中表示：“在这些情况下，验证机制的失效可能会使攻击者伪造能够通过数据保护真实性检查的有效负载，并解密认证cookie、防伪令牌、临时数据、OIDC状态等之前受保护的有效负载。”当这些长效令牌嵌入应用程序中时，会赋予攻击者可乘之机。该公告指出：“如果攻击者在漏洞窗口期内使用伪造的有效负载以特权用户身份进行认证，他们可能会诱导应用程序向自己颁发合法签名的令牌（会话刷新、API密钥、密码重置链接等）。”

与历史漏洞对比

这一漏洞距离ASP.NET遭遇有史以来最严重的漏洞之一仅过去了六个月。去年10月，Kestrel Web服务器组件出现了CVSS评分为9.9的CVE - 2025 - 55315漏洞。令人担忧的是，当前的公告还将此问题与MS10 - 070相提并论。MS10 - 070是针对CVE - 2010 - 3332的紧急补丁，CVE - 2010 - 3332是Windows ASP.NET处理加密错误方式中的一个臭名昭著的零日漏洞，在2010年曾引发了一定程度的恐慌。

并非简单的更新

通常，发现漏洞后，只需应用更新、采取变通方法或缓解措施即可。在这种情况下，服务器版本的更新本应自动完成，将运行时更新到已修复的10.0.7版本。然而，对于使用流行的Docker容器平台的开发者来说，情况更为复杂。对于这些项目，数据保护库也嵌入在已构建的应用程序中。要解决这个问题，需要更新并重新构建4月14日更新后创建的所有ASP.NET Core应用程序。此外，那些在netstandard2.0或net462目标框架资产上使用10.0.x版本（来自有缺陷的NuGet包）以兼容包括Windows在内的旧操作系统的用户也会受到影响。

检测受影响的二进制文件

开发者如何知道是否加载了存在漏洞的二进制文件呢？微软的安全公告提供了以下建议：“检查应用程序日志。最明显的症状是，升级到10.0.6版本后，用户被注销，并且日志中反复出现‘有效负载无效’的错误。检查项目文件。在.csproj文件（或依赖于它的包）中查找对Microsoft.AspNetCore.DataProtection 10.0.6版本的PackageReference。你也可以运行dotnet list package命令查看已解析的包版本。”

应对建议

总之，开发者应重新构建受影响的应用程序以应用修复版本，使所有受影响的认证cookie和令牌过期以消除伪造内容，并轮换使用新的ASP.NET Core数据保护令牌。微软建议，虽然没有证据表明攻击者已经利用了这个问题，但从良好的安全习惯出发，也应该检查是否存在意外或异常的登录失败、错误或认证失败情况。