Kritisk sårbarhet i Microsoft ASP.NET Core Data Protection

Microsoft har publicerat information om en kritiskt sårbarhet i Microsoft AspNet Core Data Protection. [1]

Sårbarheten, CVE-2026-40372, har fått en CVSSv3.1-klassning på 9.1 [2] [3]

Felaktig verifiering av kryptografisk signatur i ASP.NET Core möjliggör för en obehörig angripare att utöka behörigheter över nätverket.

Påverkade produkter

Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 NuGet packages. [4]

Uppdatering 2026-04-29

28 april publicerade Microsoft information om att denna sårbarhet även påverkar Visual Studio 2026 18.5. [5]

Rekommendationer

CERT-SE rekommenderar de som inkluderar ramverkskomponenten att skyndsamt följa leverantörens rekommendationer.

Källor

[1] https://devblogs.microsoft.com/dotnet/dotnet-10-0-7-oob-security-update/
[2] https://app.opencve.io/cve/CVE-2026-40372
[3] https://www.cve.org/CVERecord?id=CVE-2026-40372
[4] https://github.com/dotnet/announcements/issues/395
[5] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40372