CRITICAL✓ PATCH🇬🇧 English

CVE-2026-40372

ASP.NET Core — błąd weryfikacji podpisu kryptograficznego umożliwia privilege escalation

CVSS 9.1v3.1pub. 2026-04-21upd. 2026-06-27

Podatność w ASP.NET Core polega na nieprawidłowej weryfikacji podpisu kryptograficznego (CWE-347), co pozwala nieuprawnionemu atakującemu na zdalne podniesienie uprawnień bez żadnego uwierzytelnienia. Ocena CVSS 9.1 wskazuje na krytyczny poziom zagrożenia.

Pokaż oryginał (EN)

Improper verification of cryptographic signature in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network.

🤖 Analiza AI
Jak działa

Atakujący może poprzez sieć wysłać spreparowane dane lub tokeny z niepoprawnym lub sfałszowanym podpisem kryptograficznym, które aplikacja oparta na ASP.NET Core akceptuje bez prawidłowej weryfikacji. Brak właściwej kontroli integralności podpisu umożliwia obejście mechanizmów uwierzytelnienia lub autoryzacji. W efekcie atakujący może podszyć się pod uprzywilejowanego użytkownika lub uzyskać dostęp do zasobów, do których normalnie nie miałby prawa.

Skutki

Atakujący bez żadnych uprawnień może zdalnie uzyskać podwyższony poziom dostępu w aplikacji, co prowadzi do naruszenia poufności i integralności przetwarzanych danych (wysoki wpływ na C i I według CVSS).

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40372

Kogo dotyczy

Microsoft ASP.NET Core — wersje wskazane w referencjach producenta (Microsoft Security Response Center)

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Microsoft Asp.net Core

    APP
    Microsoft
    10.0.0 – 10.0.7 (bez)
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-55315CRITICAL9.9PL ✓ten sam produkt

HTTP Request Smuggling w ASP.NET Core umożliwia ominięcie zabezpieczeń

CVE-2023-38180HIGH7.5⚠ KEVten sam produkt

.NET and Visual Studio Denial of Service Vulnerability

CVE-2026-45591HIGH7.5ten sam produkt

Uncontrolled resource consumption in ASP.NET Core allows an unauthorized attacker to deny service over a netwo...

CVE-2026-26130HIGH7.5ten sam produkt

Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny s...

CVE-2025-26682HIGH7.5ten sam produkt

Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny s...