Podatność w ASP.NET Core polega na nieprawidłowej weryfikacji podpisu kryptograficznego (CWE-347), co pozwala nieuprawnionemu atakującemu na zdalne podniesienie uprawnień bez żadnego uwierzytelnienia. Ocena CVSS 9.1 wskazuje na krytyczny poziom zagrożenia.
▸ Pokaż oryginał (EN)
Improper verification of cryptographic signature in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network.
Atakujący może poprzez sieć wysłać spreparowane dane lub tokeny z niepoprawnym lub sfałszowanym podpisem kryptograficznym, które aplikacja oparta na ASP.NET Core akceptuje bez prawidłowej weryfikacji. Brak właściwej kontroli integralności podpisu umożliwia obejście mechanizmów uwierzytelnienia lub autoryzacji. W efekcie atakujący może podszyć się pod uprzywilejowanego użytkownika lub uzyskać dostęp do zasobów, do których normalnie nie miałby prawa.
Atakujący bez żadnych uprawnień może zdalnie uzyskać podwyższony poziom dostępu w aplikacji, co prowadzi do naruszenia poufności i integralności przetwarzanych danych (wysoki wpływ na C i I według CVSS).
Należy zastosować patche dostępne u producenta zgodnie z referencjami: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40372
Microsoft ASP.NET Core — wersje wskazane w referencjach producenta (Microsoft Security Response Center)
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:NMicrosoft Asp.net Core
APPMicrosoft10.0.0 – 10.0.7 (bez)
Powiązane podatności
HTTP Request Smuggling w ASP.NET Core umożliwia ominięcie zabezpieczeń
.NET and Visual Studio Denial of Service Vulnerability
Uncontrolled resource consumption in ASP.NET Core allows an unauthorized attacker to deny service over a netwo...
Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny s...
Allocation of resources without limits or throttling in ASP.NET Core allows an unauthorized attacker to deny s...