En bref

  • Microsoft publie en urgence .NET 10.0.7 pour corriger une faille critique ASP.NET Core Data Protection (CVSS 9.1).
  • Versions affectées : Microsoft.AspNetCore.DataProtection 10.0.0 à 10.0.6 sur Linux, macOS et Windows avec algorithmes managés.
  • Action : mise à jour immédiate du paquet NuGet vers 10.0.7 requise.

Les faits

Microsoft a publié le 22 avril 2026 une mise à jour de sécurité hors cycle (out-of-band) pour ASP.NET Core afin de corriger CVE-2026-40372, une faille d'élévation de privilèges notée 9.1 sur l'échelle CVSS. Le correctif prend la forme de la version .NET 10.0.7 et vise spécifiquement le paquet NuGet Microsoft.AspNetCore.DataProtection, utilisé massivement pour chiffrer les cookies d'authentification, les jetons anti-CSRF et tout secret persistant côté serveur.

Selon l'advisory Microsoft, le chiffreur authentifié managé calculait sa balise de validation HMAC sur les mauvais octets du payload puis abandonnait le hash calculé. Conséquence : un attaquant non authentifié pouvait forger des cookies d'authentification acceptés par le serveur et obtenir des privilèges SYSTEM sur la machine cible. Le bug a été introduit dans la version 10.0.0 et concerne toutes les versions 10.0.0 à 10.0.6.

Impact et exposition

Trois configurations sont vulnérables : les déploiements ASP.NET Core sur Linux, les déploiements sur macOS, et les déploiements Windows qui ont explicitement activé UseCustomCryptographicAlgorithms. Les applications Windows par défaut, qui s'appuient sur l'API Data Protection native Windows (DPAPI), ne sont pas affectées. En pratique, cela vise surtout les applications conteneurisées, les workloads Kubernetes ASP.NET Core et les services managés Linux, soit une part massive de l'écosystème .NET moderne.

Recommandations

  • Mettre à jour immédiatement Microsoft.AspNetCore.DataProtection vers la version 10.0.7 dans tous les projets affectés, puis redéployer.
  • Faire tourner dotnet list package --vulnerable sur l'ensemble des solutions pour identifier les versions exposées avant mise à jour.
  • Invalider les clés Data Protection existantes après patch (rotation du keyring) pour révoquer les éventuels cookies forgés avant le correctif.
  • Inspecter les logs d'authentification des 30 derniers jours à la recherche de sessions anormales, d'IPs inhabituelles, de cookies acceptés avec des signatures suspectes.

Alerte critique

La vulnérabilité permet une élévation de privilèges vers SYSTEM sans authentification. Tout serveur ASP.NET Core Linux exposé sur Internet doit être patché dans les heures qui viennent. Le risque d'exploitation de masse augmente chaque jour où le correctif n'est pas appliqué.

Mon application tourne sur Windows sans configuration custom, suis-je concerné ?

Non, si vous n'avez pas appelé UseCustomCryptographicAlgorithms, vous utilisez DPAPI qui n'est pas affecté. Vérifiez néanmoins vos dépendances avec dotnet list package.

Faut-il régénérer les clés Data Protection après le patch ?

Oui, c'est recommandé. Un attaquant ayant forgé un cookie avant le patch verrait encore sa session valide tant que les clés ne sont pas rotées. Procédez à une rotation complète du keyring.

Votre infrastructure ASP.NET est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit