微软发布紧急补丁修复ASP.NET Core高危漏洞
微软于2026年4月22日发布紧急安全更新,修复ASP.NET Core框架中的高危漏洞CVE-2026-40372。该漏洞影响10.0.0至10.0.6版本的Microsoft.AspNetCore.DataProtection NuGet包,攻击者可利用其伪造认证凭据,获取系统级权限。漏洞源于加密签名验证机制缺陷,可能导致未授权用户完全控制运行Linux或macOS应用的设备。微软强调,即使系统升级至10.0.7版本,若未重置数据保护密钥环,攻击者此前生成的合法令牌仍有效,存在持续风险。该框架广泛用于跨平台Web应用开发,涉及Windows、macOS、Linux及Docker环境。