Microsoft ha rilasciato un aggiornamento d'emergenza out-of-band per correggere una vulnerabilità critica in ASP.NET Core che colpisce principalmente i sistemi macOS e Linux. La falla, identificata come CVE-2026-40372 con un punteggio di gravità 9.1, permette ad aggressori non autenticati di elevare i propri privilegi fino al livello SYSTEM forgiando cookie di autenticazione e token di sicurezza.
L'impatto pratico per le aziende è immediato: un errore di regressione introdotto nell'aggiornamento del 14 aprile ha compromesso la verifica crittografica della libreria DataProtection. Questo significa che i server web che eseguono applicazioni .NET su infrastrutture Linux o container Docker sono attualmente vulnerabili al furto di sessione e alla decrittazione di dati sensibili. Per le realtà che operano nel mercato europeo, il rischio non è solo tecnico ma legale: una violazione di tale portata espone a pesanti sanzioni sotto il profilo del GDPR per mancata protezione dei dati personali dei cittadini.
Per risolvere la minaccia, è necessario aggiornare immediatamente il pacchetto NuGet alla versione 10.0.7 e procedere al rebuild completo delle applicazioni. Microsoft avverte inoltre che i token emessi durante la finestra di vulnerabilità rimangono validi; pertanto, è consigliabile forzare la rotazione delle chiavi crittografiche e la scadenza delle sessioni attive per garantire la piena integrità dei sistemi.