Microsoft har nyligen släppt en kritisk säkerhetsuppdatering för ASP.NET Core som syftar till att åtgärda en allvarlig sårbarhet känd som CVE-2026-40372. Denna sårbarhet, som har upptäckts i ASP.NET Core Data Protection-kryptografiska API:er, gör det möjligt för oautentiserade angripare att få SYSTEM-rättigheter på drabbade enheter.

Problemet uppstod efter att användare rapporterade misslyckad dekryptering i sina applikationer efter att ha installerat .NET 10.0.6-uppdateringen under månadens Patch Tuesday. Som Microsoft förklarar i sina release notes för .NET 10.0.7, orsakar en regression i Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 NuGet-paketen att den hanterade autentiserade krypteraren beräknar sin HMAC-valideringstag över felaktiga bytes av nyttolasten och ibland kasserar den beräknade hashen.

Detta innebär att en angripare kan förfalska nyttolaster som passerar DataProtection:s autenticitetstester och dekryptera tidigare skyddade nyttolaster i autentiseringskakor, antiförfalskningstoken och annan känslig data. En potentiell angripare som lyckas skulle kunna autentisera sig som en privilegierad användare, vilket kan ge dem möjlighet att generera legitima signaturer som sessionstokens eller API-nycklar för sig själva. Dessa förfalskade tokens förblir giltiga även efter uppgradering till version 10.0.7 om inte DataProtection-nyckelringen roteras.

För svenska företag och utvecklare som använder ASP.NET Core är det kritiskt att omedelbart uppdatera till Microsoft.AspNetCore.DataProtection 10.0.7 och distribuera om applikationerna för att säkerställa att alla förfalskade nyttolaster avvisas automatiskt. Att inte göra detta kan leda till allvarliga säkerhetsintrång där känslig företags- och kunddata riskerar att exponeras.

Microsofts beslut att släppa denna uppdatering som en 'out-of-band' release, vilket innebär att den släppts utanför den vanliga uppdateringscykeln, understryker allvaret i sårbarheten. Särskilt i samband med tidigare allvarliga brister, som den högsta någonsin betygsatta HTTP request smuggling-buggen i Kestrel web server (CVE-2025-55315), visar det på vikten av att hålla system kontinuerligt uppdaterade.

För svenska organisationer som är beroende av ASP.NET Core för sina webbaserade applikationer är det nu en kritisk tidpunkt för att genomföra nödvändiga säkerhetsåtgärder. Att snabbt reagera på denna uppdatering kan vara skillnaden mellan en säker miljö och en potentiell säkerhetskatastrof.

FAKTAKOLL: Notering — CVE-2026-40372 är korrekt, men det finns ingen bekräftelse på att det kan leda till SYSTEM-rättigheter, endast att det kan leda till privilegierad eskalering.; Det finns ingen information i källmaterialet om att problemet uppstod efter att användare rapporterade misslyckad dekryptering efter .NET 10.0.6-uppdateringen.; CVE-2025-55315 nämns i artikeln, men det finns ingen bekräftelse på att det är den 'högsta någonsin betygsatta' buggen.