lỗ hổng CVE mới trong .NET 10 đang được Microsoft xử lý bằng bản cập nhật khẩn cấp ngoài chu kỳ, sau khi ghi nhận lỗi giải mã trên các ứng dụng ASP.NET Core sau bản vá 10.0.6. Bản phát hành 10.0.7 được công bố ngày 21/04/2026 để khắc phục CVE-2026-40372, một lỗi elevation of privilege trong gói Microsoft.AspNetCore.DataProtection.
CVE-2026-40372 trong Microsoft.AspNetCore.DataProtection
Lỗ hổng CVE này nằm trong managed authenticated encryptor của gói Microsoft.AspNetCore.DataProtection. Microsoft cho biết lỗi xuất hiện trong các phiên bản từ 10.0.0 đến 10.0.6.
Tham chiếu chính thức: Microsoft .NET 10.0.7 OOB security update.
Trong các phiên bản bị ảnh hưởng, encryptor có thể tính HMAC validation tag trên sai byte của payload, sau đó loại bỏ giá trị băm đã tính. Sai lệch trong xử lý mật mã này có thể cho phép kẻ tấn công sửa đổi dữ liệu được bảo vệ theo cách vượt qua kiểm tra toàn vẹn.
Tác động bảo mật
Lỗi này làm suy yếu cơ chế bảo vệ cốt lõi của ASP.NET Core Data Protection, thành phần được dùng rộng rãi để mã hóa cookie, token và trạng thái ứng dụng nhạy cảm. Kết quả có thể dẫn đến chiếm quyền điều khiển mức ứng dụng thông qua elevation of privilege.
lỗ hổng CVE này đặc biệt đáng chú ý vì Data Protection là nền tảng cho nhiều cơ chế xác thực và bảo vệ dữ liệu phiên làm việc. Ứng dụng xử lý session hoặc payload được bảo vệ nhưng chưa nâng cấp sẽ có nguy cơ bảo mật cao hơn trước các kịch bản remote code execution gián tiếp hoặc leo thang đặc quyền theo luồng khai thác ứng dụng.
Phạm vi ảnh hưởng của lỗ hổng CVE
Lỗ hổng CVE ảnh hưởng đến mọi ứng dụng sử dụng gói Microsoft.AspNetCore.DataProtection trên .NET 10.0.0 đến 10.0.6. Microsoft ghi nhận các lỗi giải mã trong ứng dụng ASP.NET Core sau bản cập nhật Patch Tuesday tiêu chuẩn, trước khi phát hiện vấn đề bảo mật sâu hơn.
Theo mô tả kỹ thuật, đây là một cảnh báo CVE liên quan trực tiếp đến lớp bảo vệ dữ liệu chứ không chỉ là lỗi chức năng. Vì vậy, các hệ thống phụ thuộc vào cookie authentication, anti-forgery token và TempData encryption cần được ưu tiên cập nhật bản vá bảo mật.
Dấu hiệu và bối cảnh phát hiện
Ban đầu, khách hàng báo cáo tình trạng thất bại khi giải mã trong ứng dụng ASP.NET Core sau khi cài đặt .NET 10.0.6. Các báo cáo công khai được theo dõi trong issue #66335 của ASP.NET Core, nơi nhiều nhà phát triển ghi nhận hiện tượng regression trên diện rộng.
Trong quá trình điều tra, Microsoft xác định đây không chỉ là regression về chức năng mà còn là một lỗ hổng CVE có thể bị khai thác. Điều này dẫn đến phát hành out-of-band (OOB) để tách khỏi chu kỳ cập nhật thông thường.
Biện pháp khắc phục và cập nhật bản vá
Microsoft khuyến nghị cập nhật ngay Microsoft.AspNetCore.DataProtection lên 10.0.7. Bản SDK và runtime tương ứng đã được cung cấp trên trang tải xuống chính thức của .NET 10.0.
Với hệ thống triển khai container, image mới cũng đã được cập nhật trong Microsoft Container Registry. Các vấn đề đã biết của nhánh phát hành 10.0 được ghi nhận trong kho GitHub chính thức của .NET Core.
Đây là một trường hợp điển hình của cập nhật bản vá ngoài chu kỳ khi phát hiện lỗ hổng CVE nghiêm trọng trong thành phần lõi bảo mật. Quản trị viên và nhóm phát triển nên kiểm tra đồng thời SDK, runtime và package reference để tránh còn sót phiên bản cũ.
Kiểm tra phiên bản gói
dotnet list package | findstr Microsoft.AspNetCore.DataProtectionCập nhật package lên bản an toàn
dotnet add package Microsoft.AspNetCore.DataProtection --version 10.0.7Kiểm tra runtime đã cài
dotnet --list-runtimesYếu tố cần theo dõi trong triển khai thực tế
Các ứng dụng sử dụng cookie authentication, anti-forgery tokens và session state nên được kiểm tra lại sau khi cập nhật để xác nhận luồng mã hóa và giải mã hoạt động bình thường. Trong môi trường CI/CD, cần đảm bảo package lock, Dockerfile và manifest không còn ghim vào các phiên bản từ 10.0.0 đến 10.0.6.
Với lỗ hổng CVE này, kiểm tra phụ thuộc (dependency audit) là bước bắt buộc. Nếu ứng dụng dùng image container chính thức, cần kéo lại image mới thay vì chỉ cập nhật package ở mã nguồn.
Các thành phần bị ảnh hưởng trực tiếp
- Microsoft.AspNetCore.DataProtection từ 10.0.0 đến 10.0.6
- Ứng dụng ASP.NET Core dùng cookie authentication
- Ứng dụng dùng anti-forgery tokens
- Ứng dụng dùng TempData encryption
Liên hệ với quy trình phát hành OOB
Bản vá khẩn cấp 10.0.7 tiếp tục cho thấy Microsoft sẵn sàng đẩy bản sửa lỗi bảo mật ngoài lịch Patch Tuesday khi phát hiện regression nghiêm trọng. Trong bối cảnh hệ sinh thái Windows và .NET có nhiều mối đe dọa mạng, việc theo dõi thông báo package và runtime là cần thiết để giảm rủi ro an toàn thông tin.
Nhóm vận hành nên bật cảnh báo cập nhật tự động cho NuGet để phát hiện sớm các bản phát hành OOB liên quan đến lỗ hổng CVE hoặc bản vá bảo mật khẩn cấp.
