Microsoft a publié des mises à jour de sécurité en dehors du cycle habituel pour corriger une vulnérabilité critique dans ASP.NET Core qui permet une élévation de privilèges. La faille, identifiée sous la référence CVE-2026-40372, se trouve dans les API cryptographiques de protection des données d’ASP.NET Core, et pourrait permettre à des attaquants non authentifiés de gagner des privilèges SYSTEM sur les dispositifs concernés en falsifiant des cookies d’authentification.
Cette vulnérabilité a été détectée suite à des rapports d’utilisateurs signalant des échecs de décryptage dans leurs applications après l’installation de la mise à jour .NET 10.0.6 durant le Patch Tuesday de ce mois-ci. Microsoft a noté dans ses remarques de mise à jour pour 10.0.7 que « une régression dans les paquets NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 » empêche le calcul correct de certains éléments de validation.
D’après les détails fournis, cela pourrait permettre à un attaquant de créer des charges utiles qui passeraient les vérifications d’authenticité de DataProtection et de déchiffrer des données auparavant protégées contenues dans des cookies d’authentification, tokens antiforgery, TempData, et états OIDC, entre autres.
En cas d’utilisation de charges falsifiées pour s’authentifier en tant qu’utilisateur privilégié durant la période vulnérable, l’application pourrait générer des tokens signés légitimement tels que des liens de réinitialisation de mot de passe ou des clés API. Ces tokens demeurent valables même après la mise à jour vers 10.0.7 à moins que le système de clés de DataProtection ne soit renouvelé.
Dans un avis de sécurité, Microsoft a indiqué que bien que cette vulnérabilité puisse permettre à des attaquants de dévoiler des fichiers et de modifier des données, elle n’affecte pas la disponibilité du système. Rahul Bhandari, responsable de programme senior, a exhorté les utilisateurs dont les applications reposent sur ASP.NET Core Data Protection à mettre à jour le paquet Microsoft.AspNetCore.DataProtection vers la version 10.0.7 et à redeployer immédiatement pour remédier à cette défaillance.
En octobre, Microsoft a aussi corrigé une faille de contournement de sécurité CVE-2025-55315 dans le serveur web Kestrel, qui avait reçu la notation de gravité « la plus élevée jamais signalée » pour une faille de sécurité dans ASP.NET Core. L’exploitation réussie de cette vulnérabilité permet à des attaquants authentifiés de détourner des identifiants d’autres utilisateurs, de contourner des contrôles de sécurité en front-end ou de provoquer un crash du serveur.
Lundi, Microsoft a également mis en ligne un nouvel ensemble de mises à jour en dehors du cycle habituel pour résoudre des problèmes affectant les systèmes Windows Server qui avaient surgi après l’installation des mises à jour de sécurité d’avril 2026.
