微軟資安公告,確認現代化Web應用框架ASP.NET Core的Microsoft.AspNetCore.DataProtection套件10.0.0至10.0.6版本存在提權漏洞CVE-2026-40372,CVSS 3.1評分9.1。漏洞主要影響在Linux或macOS上執行、且使用受影響版本DataProtection套件的.NET 10應用程式,Windows平臺通常不受影響。微軟指出,受影響環境除須升級套件外,若漏洞期間曾對外提供服務,還需輪換DataProtection金鑰,否則攻擊者在此期間取得的合法權杖(Token)仍可能持續有效。
漏洞發生於DataProtection套件的密碼學簽章驗證機制存在缺陷,微軟說明,攻擊者可藉由偽造認證Cookie發動提權攻擊,部分受DataProtection保護的資料內容也可能被解密。修補後,帶有全零HMAC位元組的偽造資料內容將被拒絕。
主要受影響情境是應用程式以NuGet套件直接引用DataProtection 10.0.6,且執行於Linux或macOS。若應用程式實際載入的是ASP.NET Core共用框架內建版本,則不在影響範圍內。.NET 8.x與9.x的DataProtection套件同樣不受此問題影響,因為這段有缺陷的程式碼是在.NET 10開發過程中引入,未被移植至舊版。
官方強調,單純升級套件至10.0.7並不足夠。若應用程式在漏洞期間對外提供服務,攻擊者可能已透過偽造Cookie成功通過驗證,並取得系統後續合法簽發的Token,例如API金鑰或密碼重設連結。由於這些Token在升級後不會自動失效,受影響環境還需輪換DataProtection金鑰。
微軟建議依序完成三項處置,分別為升級套件至10.0.7並重新部署;輪換DataProtection金鑰;盤點漏洞期間所發出的長效Token,包括存於資料庫的API金鑰與尚未過期的密碼重設連結,這些屬於應用層資產,金鑰輪換無法使其失效,需由應用程式自行處理。要是應用程式在受保護的資料內容中儲存資料庫連線字串或第三方API金鑰等長效秘密,也應視為可能已洩露,盡速於來源端更換。
