Krytyczna podatność w Microsoft ASP.NET Core 10
CSIRT CeZ ostrzega: krytyczna podatność w Microsoft ASP.NET Core 10, która może zostać wykorzystana przez nieuwierzytelnionych atakujących do uzyskania uprawnień SYSTEM na podatnych systemach. Podatność stwarza istotne ryzyko dla aplikacji wystawionych do sieci, w szczególności tych obsługujących uwierzytelnianie i dane wrażliwe, dlatego zalecane jest niezwłoczne podjęcie działań aktualizacyjnych.
Charakterystyka podatności
- CVE-2026-40372
- CVSS 3.1:9,1(Critical)
Jak działa podatność
Luka bezpieczeństwa może umożliwić nieuwierzytelnionym atakującym uzyskanie uprawnień SYSTEM na podatnych urządzeniach. Wykorzystanie tej luki może pozwolić atakującemu ujawniać pliki, modyfikować dane i poruszać się w środowisku.
Dlaczego to istotne
Microsoft ASP.NET Core 10.0 jest wykorzystywane w środowiskach, w których aplikacje są wystawione do sieci oraz obsługują uwierzytelnianie oparte na podpisach kryptograficznych (np. tokeny, pliki cookie autoryzacyjne), w szczególności takich jak:
- portale urzędowe, e‑usługi, systemy EZD oraz formularze elektroniczne,
- systemy SSO / IAM oparte na technologii ASP.NET,
- aplikacje wewnętrzne udostępniane za pośrednictwem VPN lub reverse proxy.
Podatne systemy
Podatność dotyczy: Microsoft ASP.NET Core 10 w wersji niższej niż 10.0.7.
Rekomendowane działania
Aktualizacja Microsoft ASP.NET Core 10 do wersji 10.0.7 lub wyższej zalecanej przez producenta.