Microsoft a publié un patch pour une faille critique dans ASP.NET : CVE-2026-40372
Microsoft a publié la version 10.0.7 d’ASP .NET sous la forme d’une mise à jour de sécurité hors bande dans le but de patcher une faille de sécurité critique. Quels sont les risques associés à la CVE-2026-40372 ? Voici ce que l’on sait.
Une faille critique dans les API cryptographiques d’ASP.NET Core
Le problème réside au sein des API cryptographiques “Data Protection” d’ASP.NET Core. Cette faille, associée à la référence CVE-2026-40372, offre la possibilité à un pirate non authentifié d’obtenir les privilèges SYSTEM sur la machine affectée. En effet, en exploitant cette vulnérabilité, il peut forger des cookies d’authentification.
“Si un attaquant a utilisé des charges utiles falsifiées pour s’authentifier en tant qu’utilisateur privilégié pendant la fenêtre de vulnérabilité, il se peut qu’il ait incité l’application à lui délivrer des jetons légitimement signés (rafraîchissement de session, clé API, lien de réinitialisation de mot de passe, etc.).”, précise le bulletin de sécurité.
Microsoft explique que la source du problème de sécurité est liée à une régression introduite depuis la version 10.0.0 d’ASP .NET Core. Cette faiblesse correspond à une vérification incorrecte de la signature cryptographique dans ASP.NET Core.
La firme de Redmond précise également que Windows n’est pas directement affecté, mais plutôt les applications basées sur ce framework. “Sous Windows, DataProtection utilise par défaut des modules de chiffrement basés sur CNG, qui ne contiennent pas ce bogue. Les versions 8.0.x et 9.0.x ne sont pas concernées. Le chemin de code défectueux a été introduit lors du développement de la version 10.0 et n’a jamais été rétroporté.”, peut-on lire.
Ce qui est original, c’est la façon dont a été découverte cette faille de sécurité : Microsoft a identifié le problème après que plusieurs utilisateurs ont signalé des échecs dans les mécanismes de déchiffrement au sein de leurs applications. C’est sûrement pour cette raison que l’attribution est anonyme (Anonymous) sur le site MSRC.
Le patch de sécurité : 10.0.7
La version 10.0.6 d’ASP .NET a été publiée il y a quelques jours, à l’occasion du Patch Tuesday d’avril 2026. Néanmoins, si vous avez installé cette mise à jour, vous devez recommencer en passant plutôt sur la version 10.0.7. À l’heure actuelle, il s’agit de la seule version disposant d’un correctif de sécurité pour la CVE-2026-40372.
Si vous utilisez une application qui s’appuie sur ASP.NET Core, et plus particulièrement sur Data Protection, patchez rapidement. Vous pouvez télécharger la dernière version ici :