微软修补关键ASP.NET Core CVE-2026-40372权限漏洞

执行摘要

微软在2026年4月24日发布了紧急安全更新，以解决ASP.NET Core中的一个关键权限提升漏洞CVE-2026-40372。这个漏洞的CVSS得分为9.1，源于在某些认证操作中未能正确验证加密签名，微软的公告中提到。一个匿名研究人员报告了这个漏洞。所有支持的ASP.NET Core和.NET版本都受到影响。截至公告日期，微软尚未观察到野外的积极利用，但严重性评级和紧急发布节奏表明，对于托管ASP.NET Core应用程序的企业环境来说，风险较高。

技术分析

CVE-2026-40372是ASP.NET Core认证中间件中的一个不当加密验证漏洞。这个漏洞允许经过身份验证的攻击者通过制作一个特别形成的认证令牌来绕过签名验证检查，从而提升权限，The Hacker News报道。CVSS 9.1的评分反映了低攻击复杂性（AV:N/AC:L）和对机密性、完整性和可用性（C:I:A全部评为高）的高影响。不需要用户交互，攻击向量基于网络，这意味着攻击者可以远程利用这个漏洞，而无需事先访问目标系统，只需要一个有效的会话。

这个漏洞影响所有支持的ASP.NET Core版本，包括.NET 6、.NET 7、.NET 8和.NET 9。微软的公告没有指定哪些特定的认证流程受到影响，但不当的加密签名验证指向了令牌验证逻辑中的缺陷，可能与JWT或类似的持有者令牌处理有关。紧急发布——在微软常规的Patch Tuesday周期之外——表明公司评估了风险，认为需要立即采取行动，而不是等待下一个预定的更新。

微软感谢一位匿名研究人员发现并报告了CVE-2026-40372。截至本文撰写时，尚未公开披露进一步的技术细节、概念验证代码或利用向量，这与负责任的披露实践一致。

缓解措施与建议

微软已经发布了所有受影响.NET版本的更新包。系统管理员和开发人员应立即将紧急更新应用于任何运行ASP.NET Core应用程序的生产或暂存环境。更新可通过标准的.NET更新渠道获得，包括Windows Update、Microsoft Update Catalog和NuGet包管理器。

对于无法立即修补的环境，微软建议审查认证令牌验证配置，并应用网络级访问控制，以限制ASP.NET Core端点仅对可信网络暴露。组织还应监控认证日志，寻找异常的令牌使用模式，如重复的验证失败尝试或带有意外声明的令牌。鉴于利用的远程、低复杂性特性，将修补延迟超过几天将显著增加被入侵的风险。