微软紧急发布.NET 10.0.7安全更新,修复CVE-2026-40372严重提权漏洞。此次更新针对非Windows系统上运行.NET 10.0.6的应用程序,影响涉及多个框架资产。
漏洞详情与影响范围
该安全漏洞编号为CVE-2026-40372,严重程度评分达9.1。攻击者可利用伪造认证Cookie解密部分安全载荷,在Microsoft.AspNetCore.DataProtection NuGet组件中提权至SYSTEM权限。
受影响系统配置
以下组合环境存在风险:
- 引用.NET 10.0.0至10.0.6 版本的Microsoft.AspNetCore.DataProtection组件
- 使用net462或netstandard2.0目标框架资产
- 运行于Linux、macOS等非Windows操作系统
更新部署建议
微软提供通过官方下载链接获取更新的途径,并建议运行 dotnet –info 命令验证版本。部署后需重新编译和部署依赖该组件的软件。此次紧急更新距离上一次常规补丁周期仅数日,凸显漏洞严重性。
via Neowin
