Авторизация / Регистрация

[Wadimus]

Microsoft в срочном порядке закрыла опасную уязвимость в ASP.NET, которая фактически открывала злоумышленникам дверь в систему без пароля. Речь о баге с индексом CVE-2026-40372 — и звучит он не менее тревожно, чем выглядит.

Проблема обнаружилась в компоненте Microsoft.AspNetCore.DataProtection версий с 10.0.0 по 10.0.6. Ошибка скрывалась в механизме HMAC, отвечающем за целостность данных. Из-за сбоя атакующие могли подделывать аутентификационные данные и обходить защиту, получая привилегии уровня системы.

Под основной удар попали приложения на Linux и macOS. В Windows ситуация оказалась спокойнее — там по умолчанию используются другие криптографические алгоритмы, что уберегло систему от эксплуатации уязвимости.

При этом установка патча не гарантирует полной безопасности. В Microsoft предупреждают, что злоумышленники могли заранее получить действующие токены доступа, которые продолжат работать даже после обновления.

Компания советует не ограничиваться установкой исправления. Рекомендуется срочно провести ротацию ключей безопасности и внимательно проверить систему на признаки компрометации — на всякий случай, если кто-то уже успел «погулять» внутри.

[Life]

ой ну надо же какая неожиданность) Ещё овер 9000 уязвимостей о которых "никто не знает" ждут своего внезапного открытия

[Dr9vik]

ну все мой сайт взломают