Корпорація Microsoft опублікувала позачергове оновлення безпеки для усунення критичної вразливості в ASP.NET Core, яка отримала ідентифікатор CVE-2026-40372. Проблема оцінюється у 9.1 бала за шкалою CVSS, що класифікує її як критичну. Технічна причина полягає в помилці регресії в пакеті Microsoft.AspNetCore.DataProtection версій 10.0.0–10.0.6. Через некоректну перевірку криптографічного підпису зловмисник може обійти механізми автентифікації та підробити корисне навантаження в кукі-файлах або токенах захисту від підробки.

Успішна експлуатація дозволяє неавторизованому користувачу отримати права системи через мережу. Вразливість проявляється на операційних системах Linux та macOS, де додаток використовує вказані версії NuGet-пакетів. За даними розробників, зловмисник може розшифрувати захищені дані та видати себе за привілейованого користувача, що веде до повного компрометування вебдодатку. На цей час зафіксовано, що помилка виникає через обчислення HMAC-тегу за неправильними байтами, що фактично нівелює перевірку цілісності даних.