MS, ASP.NET Core 취약점 긴급 패치 발표
원제: Microsoft issues emergency update for macOS and Linux ASP.NET threat
왜 중요한가
웹 개발 프레임워크의 핵심 보안 취약점으로 크로스플랫폼 개발 생태계에 광범위한 영향
마이크로소프트가 4월 22일 ASP.NET Core의 고위험 보안 취약점(CVE-2026-40372)에 대한 긴급 패치를 발표했다. 이 취약점은 macOS와 Linux 환경에서 인증되지 않은 공격자가 시스템 최고 권한을 획득할 수 있게 하는 문제다.
마이크로소프트는 ASP.NET Core Data Protection 패키지의 암호화 서명 검증 오류로 인한 취약점을 수정하는 긴급 업데이트를 배포했다. CVE-2026-40372로 분류된 이 취약점은 Microsoft.AspNetCore.DataProtection NuGet 패키지 버전 10.0.0~10.0.6에 영향을 미친다. 공격자는 HMAC 검증 과정에서 인증 페이로드를 위조해 시스템 전체를 장악할 수 있는 최고 권한을 획득할 수 있다. 특히 패치를 적용한 후에도 공격자가 생성한 인증 자격 증명이 남아있으면 시스템이 여전히 위험할 수 있다고 경고했다. 마이크로소프트는 "공격자가 취약한 기간 동안 위조된 페이로드로 권한 있는 사용자로 인증했다면, 애플리케이션이 합법적으로 서명된 토큰을 발급했을 수 있다"며 DataProtection 키 링 교체를 권고했다. 이번 취약점은 최대 심각도 9.1점(10점 만점)으로 평가되며, 주로 macOS, Linux 환경에서 실행되는 애플리케이션이 영향을 받는다.