Microsoft heeft buiten de reguliere updatecyclus om beveiligingsupdates uitgebracht om een kritieke kwetsbaarheid in ASP.NET Core te verhelpen. De fout, geregistreerd als CVE-2026-40372, zit in de Data Protection cryptografische API's van ASP.NET Core en maakt het mogelijk voor ongeauthenticeerde aanvallers om via vervalste authenticatiecookies SYSTEM-rechten te verkrijgen op getroffen systemen.

De kwetsbaarheid werd ontdekt nadat gebruikers meldingen maakten van decryptiefouten in hun applicaties na installatie van de .NET 10.0.6 update tijdens Patch Tuesday deze maand. Volgens Microsoft veroorzaakt een regressie in de Microsoft.AspNetCore.DataProtection NuGet-pakketten (versies 10.0.0 tot 10.0.6) dat de HMAC-validatietag over verkeerde bytes van de payload berekent en in sommige gevallen de berekende hash weggooit. Hierdoor kunnen aanvallers payloads vervalsen die de authenticiteitscontroles van DataProtection passeren en eerder beschermde payloads in authenticatiecookies, antiforgery tokens en andere beveiligde data ontsleutelen.

Als een aanvaller tijdens het kwetsbare tijdsvenster met vervalste payloads als een geprivilegieerde gebruiker wist in te loggen, kon de applicatie legitiem ondertekende tokens uitgeven, zoals sessieverversing, API-sleutels of wachtwoordresetlinks. Deze tokens blijven geldig na de upgrade naar versie 10.0.7, tenzij de DataProtection sleutelring wordt geroteerd. In een security advisory van dinsdag legt Microsoft verder uit dat aanvallers ook bestanden kunnen uitlezen en data kunnen wijzigen, maar dat de beschikbaarheid van het systeem niet wordt beïnvloed.

Senior program manager Rahul Bhandari waarschuwde klanten die ASP.NET Core Data Protection gebruiken om zo snel mogelijk te updaten naar versie 10.0.7 van het Microsoft.AspNetCore.DataProtection pakket en de applicaties opnieuw te deployen. Dit herstelt de validatieroutine en zorgt ervoor dat vervalste payloads automatisch worden geweigerd. Meer details over getroffen platforms, pakketten en configuraties zijn te vinden in de oorspronkelijke aankondiging.

In oktober vorig jaar patchte Microsoft ook een HTTP request smuggling kwetsbaarheid (CVE-2025-55315) in de Kestrel webserver, die de hoogste ernstscore ooit kreeg voor een ASP.NET Core beveiligingsprobleem. Exploitatie van deze kwetsbaarheid maakt het mogelijk voor geauthenticeerde aanvallers om gebruikerscredentials te kapen, beveiligingscontroles te omzeilen of de server te laten crashen. Daarnaast bracht Microsoft maandag nog een set out-of-band updates uit voor Windows Server systemen die problemen veroorzaakten na installatie van de april 2026 beveiligingsupdates.