ASP.NET Core

ASP.NET Core

ASP.NET Core、パッチが脆弱性を呼んだ緊急OOB

4月のパッチチューズデーで配られた修正が、権限昇格の穴を開けていた。Microsoftが一週間後に緊急の帯域外更新を出した理由は、自らの修正が信頼の根幹に触れていたからだ。 パッチチューズデーが呼び込んだ権限昇格 Microsoftが2026年4月21日、ASP.NET Core向けに緊急の帯域外更新を公開した。CVE-2026-40372として追跡される権限昇格の脆弱性に対応するもので、CVSSスコアは9.1の緊急評価。認証を持たない攻撃者がネットワーク越しに、認証Cookieを偽造してSYSTEM権限を掌握できるとされる。 問題の出自が異例だ。脆弱性の発端は同月14日のパッチチューズデーで配布されたMicrosoft.AspNetCore.DataProtectionのバージョン10.0.6。このリリース後、一部の利用者から「アプリケーション側で復号が失敗する」との報告が寄せられ、調査の過程で正規のバグと並んで脆弱性が浮上したという流れになる。つまり、定例パッチ自身が新たな穴を開けていた。 修正を担った.NETチームのシニアプログラムマネージャーRahul Bhandar