Microsoft je 22. aprila 2026 objavil izredne varnostne posodobitve za odpravo kritične ranljivosti v ASP.NET Core, ki lahko napadalcem omogoči povišanje privilegijev v sistemu. Gre za popravke, objavljene izven rednega mesečnega cikla Patch Tuesday, kar nakazuje na resnost odkrite varnostne vrzeli.
Ranljivost, označena kot CVE-2026-XXXXX, omogoča napadalcu s spletno aplikacijo pridobitev višjih sistemskih pravic, kot so mu sicer dodeljene. V najslabšem scenariju lahko to vodi do popolnega nadzora nad strežnikom, kjer teče ranljiva aplikacija. Tehnični detajli kažejo, da gre za napako pri obdelavi avtentikacijskih žetonov v ASP.NET Core middleware komponentah.
Prizadete so različice ASP.NET Core 6.0, 7.0 in 8.0, kar pomeni, da je potencialno ogroženo veliko število produkcijskih okolij. Microsoft v varnostnem sporočilu posebej opozarja, da je ranljivost zlahka izkoriščljiva in ne zahteva kompleksnih tehnik ali predhodnega dostopa do sistema.
Svetujemo takojšnjo namestitev popravkov na vseh strežnikih, ki poganjajo ASP.NET Core aplikacije. Posodobitve so na voljo preko Windows Update, Microsoft Update Catalog ter paketnega upravljalnika NuGet za razvijalce. Organizacije, ki zaradi testiranja ne morejo takoj namestiti popravkov, naj implementirajo začasne omilitvene ukrepe, kot so strožja pravila požarnih zidov in dodatno spremljanje avtentikacijskih zahtevkov.
Incident ponovno izpostavlja pomembnost rednega posodabljanja programske opreme in spremljanja varnostnih sporočil proizvajalcev. Strokovnjaki za kibernetsko varnost opozarjajo, da lahko napadalci že v nekaj urah po objavi popravka razvijejo izkoriščljivo kodo, kar še dodatno poudarja nujnost hitre reakcije IT ekip.
Microsoft še ni poročal o aktivnem izkoriščanju ranljivosti v naravi, vendar priporoča preventivno ukrepanje vsem uporabnikom ASP.NET Core platforme.
Vir: https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/
Originalna objava: 2026-04-22
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.