Microsoft wydał pilną aktualizację usuwającą poważną lukę bezpieczeństwa CVE-2026-40372 w ASP.NET Core, która pozwala atakującemu na podniesienie uprawnień do poziomu SYSTEM, o ile aplikacja działa na systemach innych niż Windows i korzysta z konkretnych wersji biblioteki Microsoft.AspNetCore.DataProtection. Wykorzystując ten błąd, atakujący może podmienić dane uwierzytelniające, pliki cookie czy tokeny, uzyskując dostęp do wrażliwych informacji i modyfikując dane, co może skutkować autoryzacją jako uprzywilejowany użytkownik.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)