#news Внеплановые патчи случились и у Microsoft. Компания закрыла критическую уязвимость на повышение привилегий в своём опенсорсном фреймворке ASP[.]NET Core. CVE-2026-40372, 9.1 по CVSS.
Проблема кроется в неверной верификации криптографических подписей и позволяет неаутентифицированному злоумышленнику получить привилегии уровня System. В бюллетене акцент на инстансах, стоящих на Linux и macOS, но устройства на Windows также затронуты. Хорошие новости, уязвимы только версии конкретного пакета Microsoft.AspNetCore.DataProtection с 10.0.0 по 10.0.6. Плохие, не каждый вспомнит о том, что он у тебя в зависимостях, плюс поддельные креды по следам экплойта после патча никуда не деваются — нужно сменить ключи и проверить приложения на предмет компрометации. Кто бюллетени невнимательно читает, остаётся в зоне повышенного риска. Особенно когда речь о исправлениях, не ждущих патчевого вторника.
