首页 > 系统资讯

微软发布紧急更新！修复9.1分高危漏洞

番茄系统家园 · 2026-04-22 04:30:34

本站4月22日消息,微软发布.NET带外(Out-of-Band)安全更新,版本号为10.0.7,修复了一个评分高达9.1的提权漏洞｡

该漏洞编号为CVE-2026-40372,攻击者可通过伪造认证Cookie并解密安全载荷实现权限提升,最终获取系统权限,能够读取文件和篡改数据｡

该漏洞存在于Microsoft.AspNetCore.DataProtection NuGet包中,微软解释称,受管认证加密器在计算HMAC验证标签时可能覆盖了载荷的错误字节,随后丢弃计算出的哈希值,从而导致权限提升｡

微软强调,所有非Windows操作系统上安装了.NET 10.0.6的设备都会受到影响｡

具体受影响的条件包括:应用或库引用了NuGet上10.0.0至10.0.6版本的Microsoft.AspNetCore.DataProtection包;构建过程使用了该包的net462或netstandard2.0目标框架资源(即应用未 targeting net10.0,例如使用net8.0､net9.0､net481等);且应用运行在Linux､macOS或其他非Windows系统上｡

这一漏洞是在发布.NET 10.0.6之后被发现的,微软在调查用户报告的解密失败问题时,顺带发现了这一更严重的安全漏洞,10.0.7同时修复了该回归性解密Bug和安全漏洞｡

微软建议受影响的用户尽快下载安装.NET 10.0.7,并通过命令行运行`dotnet --info`确认版本已更新至最新,随后使用更新后的包重新构建和部署依赖软件｡

微软发布紧急更新！修复9.1分高危漏洞