Microsoft est contraint de publier une mise à jour de sécurité hors cycle pour combler une faille critique dans ASP.NET Core. Elle est identifiée en tant que CVE-2026-40372 et a été découverte suite à des rapports d’utilisateurs signalant des échecs de déchiffrement après l’installation des mises à jour du .NET 10.0.6 lors du Patch Tuesday.
Quel est l’impact de cette vulnérabilité CVE-2026-40372 ?
La gravité de la faille est très élevée, avec un score CVSS de 9.1 sur 10. Elle permet à un attaquant distant et non authentifié de parvenir à une élévation de privilèges pour obtenir les droits système sur un appareil vulnérable.
Il est fait mention d’une régression introduite dans les paquets NuGet récents et Microsoft.AspNetCore.DataProtection (versions 10.0.0 à 10.0.6).
Une validation défaillante permet à un attaquant de » forger des charges utiles qui passent les contrôles d’authenticité de DataProtection « . Il pourrait déchiffrer des données sensibles notamment contenues dans des cookies d’authentification. Une exploitation réussie permet aussi de modifier des données et de divulguer des fichiers.
Des actions à entreprendre sans tarder
L’exploitation de la vulnérabilité dépend de plusieurs conditions spécifiques. L’application doit utiliser l’une des versions vulnérables du paquet et la bibliothèque doit être effectivement chargée au moment de l’exécution. L’alerte vaut surtout pour des applications exécutées sur Linux ou macOS.
Microsoft enjoint à mettre à jour le paquet concerné vers la version 10.0.7 sans tarder et à redéployer les applications. Des problèmes pourraient toutefois subsister dans le cas de tokens obtenus de manière malveillante, et nécessitant un renouvellement du trousseau de clés DataProtection.