ASP.NET Coreに特権昇格の脆弱性、認証クッキー偽造の恐れ Microsoftが修正パッチ公開：セキュリティニュースアラート

Microsoftは、ASP.NET Coreの暗号署名検証に起因する権限昇格の脆弱性（CVE-2026-40372）を公表した。未認証の攻撃者がSYSTEM権限を取得する恐れがある。修正版への更新が推奨される。

[ITmedia エンタープライズ編集部，ITmedia]

　Microsoftは2026年4月21日（現地時間）、「ASP.NET Core」に存在する権限昇格の脆弱（ぜいじゃく）性「CVE-2026-40372」を公表し、修正を含むセキュリティ更新を公開した。この脆弱性は、ASP.NET CoreのData Protection機能における暗号署名の検証処理に問題があることに起因する。

CVSS 9.1、SYSTEM権限奪取の恐れ

　具体的には、暗号化されたデータの真正性を確認する処理が不適切であり、ネットワーク経由で未認証の攻撃者が細工したデータを正当なものとして通過させる可能性がある。その結果、攻撃者は権限を引き上げ、最終的にSYSTEM権限を取得できる恐れがある。共通脆弱性評価システム（CVSS）v3.1の評価において、スコアは9.1で、深刻度は緊急（Critical）と評価されている。機密性および完全性に重大な影響を及ぼすとされるが、可用性への影響はないと評価されている。

　影響を受ける条件は限定的とされ、NuGetパッケージ「Microsoft.AspNetCore.DataProtection」のバージョン10.0.6を使用していることが前提となる。加えて、該当のライブラリが実行時に実際に読み込まれている必要がある。対象環境はLinuxやmacOSなどWindows以外のOSである場合が中心とされる。Windows環境では既定の暗号化方式が異なるため、通常は影響を受けない。ただし、Windowsでも独自設定で管理アルゴリズムを使用している場合は例外となる。

　また古いターゲットフレームワークを利用している一部の環境において、OSに関係なく影響を受けるケースがあるとされる。他方で、共有フレームワークを利用する構成で、適切なバージョンが読み込まれている場合は影響を受けない。

　脆弱性の原因は、Data Protectionの暗号処理において署名検証に使用するデータ範囲の扱いに不備があり、結果として検証が無効化されるケースがある点にある。これによって、攻撃者が任意のペイロードを生成し、正規のデータとして処理させる余地が生じる。

　Microsoftはこの問題に対処するため、ASP.NET Coreのバージョン10.0.7を公開し、該当処理を修正した。利用者に対し、速やかに更新を適用し、アプリケーションを再展開することを求めている。更新後は不正なデータが拒否されるようになる。Microsoftは、影響範囲の確認として、ログにおけるエラー発生やパッケージ依存関係の確認を推奨している。