微软发布紧急带外更新修复.NET组件中的权限提升漏洞 该漏洞评分达9.1分
https://www.landiannews.com/archives/112782.html
微软在 4 月例行更新中发布 .NET 10.0.6 版后,部分用户报告其基于 .NET 开发的应用程序解密功能失效,随后微软开始调查,调查该问题时微软意外发现 10.0.0~10.0.6 都存在权限提升漏洞。
该漏洞编号为 CVE-2026-40372,漏洞评分为 9.1 分,攻击者可以利用漏洞伪造身份验证 Cookie 并解密某些安全载荷,从而实现权限提升,该漏洞位于
微软称,在进行带身份加密的验证时,程序原本应该使用 HMAC (防篡改校验码) 来验证数据的完整性,但因为代码漏洞,系统计算 HMAC 校验码时用错字节,然后又把算出来的错误校验结果丢弃,没有正确进行比对。
https://www.landiannews.com/archives/112782.html
微软在 4 月例行更新中发布 .NET 10.0.6 版后,部分用户报告其基于 .NET 开发的应用程序解密功能失效,随后微软开始调查,调查该问题时微软意外发现 10.0.0~10.0.6 都存在权限提升漏洞。
该漏洞编号为 CVE-2026-40372,漏洞评分为 9.1 分,攻击者可以利用漏洞伪造身份验证 Cookie 并解密某些安全载荷,从而实现权限提升,该漏洞位于
Microsoft.AspNetCore.DataProtection NuGet 包中。微软称,在进行带身份加密的验证时,程序原本应该使用 HMAC (防篡改校验码) 来验证数据的完整性,但因为代码漏洞,系统计算 HMAC 校验码时用错字节,然后又把算出来的错误校验结果丢弃,没有正确进行比对。
