Microsoft Rilis Patch Penting untuk Bug Privilege Escalation ASP.NET Core CVE-2026-40372

Microsoft baru saja merilis pembaruan keamanan out-of-band untuk memperbaiki kerentanan kritis pada framework ASP.NET Core yang memungkinkan penyerang melakukan privilege escalation atau peningkatan hak akses secara tidak sah.

Kerentanan CVE-2026-40372 dan Dampaknya

Kerentanan yang diberi kode CVE-2026-40372 ini memiliki skor CVSS sebesar 9,1 dari 10, menandakan tingkat bahaya yang sangat tinggi. Microsoft menilai kerentanan ini sebagai masalah serius yang dapat dimanfaatkan untuk mendapatkan hak akses sistem (SYSTEM privileges) melalui jaringan.

"Verifikasi tanda tangan kriptografi yang tidak tepat pada ASP.NET Core memungkinkan penyerang tidak berwenang untuk meningkatkan hak akses melalui jaringan," jelas Microsoft dalam advisori resminya.

Jika berhasil dieksploitasi, penyerang dapat mengakses file yang seharusnya terlindungi dan memodifikasi data penting. Namun, Microsoft menegaskan adanya tiga prasyarat utama agar kerentanan ini dapat dimanfaatkan:

• Aplikasi menggunakan paket Microsoft.AspNetCore.DataProtection versi 10.0.6 dari NuGet, baik langsung maupun melalui paket lain seperti Microsoft.AspNetCore.DataProtection.StackExchangeRedis.
• Paket NuGet tersebut benar-benar dimuat saat runtime aplikasi berjalan.
• Aplikasi berjalan pada sistem operasi Linux, macOS, atau sistem selain Windows.

Perbaikan di Versi ASP.NET Core 10.0.7

Microsoft telah memperbaiki bug ini pada versi ASP.NET Core 10.0.7. Penjelasan resmi menyebutkan bahwa ada regresi pada paket Microsoft.AspNetCore.DataProtection versi 10.0.0 hingga 10.0.6 yang menyebabkan mekanisme enkripsi terautentikasi (authenticated encryptor) menghitung tag HMAC pada bagian payload yang salah, kemudian membuang hash yang dihitung tersebut dalam beberapa kasus.

"Dalam kondisi tersebut, penyerang dapat memalsukan payload yang lolos dari pemeriksaan keaslian DataProtection serta mendekripsi payload yang sebelumnya dilindungi seperti cookie autentikasi, token antiforgery, dan lainnya," lanjut Microsoft.

Lebih lanjut, jika penyerang menggunakan payload palsu untuk mengautentikasi sebagai pengguna dengan hak istimewa selama periode kerentanan, mereka bisa memicu aplikasi mengeluarkan token yang sah seperti token sesi, kunci API, atau tautan reset kata sandi untuk diri mereka sendiri. Token-token ini akan tetap valid bahkan setelah pembaruan ke versi 10.0.7, kecuali DataProtection key ring dirotasi.

Implikasi dan Rekomendasi

Kerentanan ini terutama mengancam aplikasi ASP.NET Core yang berjalan di lingkungan Linux dan macOS yang menggunakan paket DataProtection versi rentan. Oleh karena itu, pengembang dan administrator sistem sangat disarankan untuk segera melakukan pembaruan ke versi 10.0.7 dan melakukan rotasi kunci DataProtection agar token lama yang mungkin sudah disalahgunakan tidak tetap valid.

• Segera perbarui paket Microsoft.AspNetCore.DataProtection ke versi 10.0.7.
• Lakukan rotasi DataProtection key ring untuk membatalkan token lama yang mungkin telah disalahgunakan.
• Periksa aplikasi yang berjalan di Linux dan macOS yang menggunakan paket rentan.
• Waspadai penyalahgunaan token yang diterbitkan selama periode kerentanan.

Untuk informasi lebih lengkap dan pembaruan terkini, Anda dapat mengunjungi sumber asli berita ini di The Hacker News.

Analisis Redaksi

Menurut pandangan redaksi, kerentanan ini merupakan peringatan keras bagi pengembang dan perusahaan yang mengandalkan ASP.NET Core, khususnya yang menjalankan aplikasi di lingkungan non-Windows. Kerentanan dalam mekanisme kriptografi internal menunjukkan bahwa aspek keamanan yang sering dianggap sudah matang pun masih bisa memiliki celah signifikan.

Lebih jauh, fakta bahwa token autentikasi yang telah diterbitkan selama masa rentan tetap valid bahkan setelah patch dipasang berpotensi menghadirkan risiko lanjutan yang tidak terlihat oleh banyak organisasi. Ini menegaskan pentingnya melakukan rotasi kunci dan audit keamanan secara menyeluruh setelah terjadi insiden keamanan.

Ke depan, penting bagi pengembang untuk memperhatikan update keamanan yang keluar secara out-of-band seperti ini dan memastikan seluruh dependensi aplikasi selalu diperbarui. Selain itu, praktik keamanan lapis ganda pada proses autentikasi dan otorisasi harus terus diperkuat untuk mencegah eksploitasi serupa.

Jangan lewatkan informasi keamanan terbaru dengan mengikuti kami di platform berita teknologi terpercaya.