Корпорация Microsoft 9 июня 2026 года опубликовала два бюллетеня безопасности, касающихся платформы .NET и веб-фреймворка ASP.NET Core. В продуктах обнаружены уязвимости, способные привести к нарушению целостности данных при локальном доступе и к удаленному отказу в обслуживании. Обе проблемы получили идентификаторы CVE-2026-45491 и CVE-2026-45591. Разработчик уже выпустил обновления для затронутых версий.
Проблема подмены данных: уязвимость CVE-2026-45491
Первая уязвимость классифицируется как нарушение целостности данных и связана с некорректным разрешением ссылок перед доступом к файлам. Речь идет об ошибке, известной как "следование по символическим ссылкам" (CWE-59). Вектор атаки локальный: злоумышленник, имеющий возможность запустить код на системе, может через символические ссылки изменить файлы, которые должны быть защищены от записи. Оценка по шкале CVSS (Common Vulnerability Scoring System - система оценки severity уязвимостей) составляет 6,2 балла из 10 - уровень Medium.
Уязвимость затрагивает следующие версии .NET:
- .NET 10.0 до версии 10.0.9 на Linux и macOS;
- .NET 8.0 до версии 8.0.28 на Linux, macOS и Windows;
- .NET 9.0 до версии 9.0.17 на Linux и macOS.
Эксплуатация не требует аутентификации и взаимодействия с пользователем, что упрощает задачу атакующему при наличии локального доступа. В случае успеха злоумышленник может подменить исполняемые файлы, библиотеки или конфигурации, что впоследствии приведет к компрометации приложений, использующих платформу .NET.
Удаленный отказ в обслуживании: уязвимость CVE-2026-45591
Вторая уязвимость представляет гораздо большую опасность из-за сетевого вектора. Она обнаружена в компоненте ASP.NET Core и вызвана неконтролируемым потреблением ресурсов (CWE-400). Атакующий, не имеющий аутентификации, может отправить специально сформированный запрос, который приведет к перегрузке процессора или памяти. Итог - отказ в обслуживании приложения. Оценка CVSS - 7,5 баллов, уровень High.
Затронутые компоненты:
- ASP.NET Core 10.0 до версии 10.0.9;
- ASP.NET Core 8.0 до версии 8.0.28;
- ASP.NET Core 9.0 до версии 9.0.17.
Кроме того, в списке затронутых продуктов указана среда разработки Microsoft Visual Studio 2026 версии 18.6 (до 18.6.3). Это означает, что уязвимость может быть использована на этапе разработки, если среда обрабатывает вредоносные запросы.
Удаленная эксплуатация делает эту уязвимость особенно критичной для веб-приложений, развернутых в интернете. Без установки патча злоумышленник способен сделать сервис недоступным простой отправкой HTTP-запроса, что влечет за собой финансовые потери и репутационные риски.
Почему это важно
Платформа .NET и фреймворк ASP.NET Core широко используются как в корпоративной среде, так и в государственных информационных системах. По данным Microsoft, .NET лежит в основе тысяч приложений, включая облачные сервисы Azure, решения для финансового сектора и электронной коммерции. Уязвимость типа CVE-2026-45491 может быть использована для эскалации привилегий или внедрения вредоносного кода через подмену файлов, хотя локальный доступ ограничивает круг потенциальных жертв. В то же время CVE-2026-45591 позволяет нарушить доступность приложения удаленно, что делает её приоритетной для немедленного исправления.
Обе уязвимости были выявлены и зарегистрированы в базе данных CVE (Common Vulnerabilities and Exposures) 9 июня 2026 года. Microsoft оперативно выпустила патчи для всех затронутых версий. Организациям, использующим .NET и ASP.NET Core, рекомендуется в первую очередь обновить компоненты, работающие в публичных сетях.
Текущий статус и рекомендации
Разработчик опубликовал исправления в обновленных версиях: для .NET 10.0 - 10.0.9, для .NET 8.0 - 8.0.28, для .NET 9.0 - 9.0.17 и для Visual Studio 2026 - 18.6.3.
Установка обновлений - единственный способ закрыть эти уязвимости. Специалистам по информационной безопасности следует провести инвентаризацию серверов и рабочих станций, на которых развернуты .NET и ASP.NET Core, и применить патчи. Для сред, где невозможно немедленно обновить все экземпляры, следует временно ограничить сетевой доступ к уязвимым сервисам и усилить мониторинг на предмет аномального потребления ресурсов.
Организациям, разрабатывающим приложения на .NET, также необходимо обновить Visual Studio до версии 18.6.3 или выше, чтобы исключить риск эксплуатации на этапе разработки.
Резюме
Две уязвимости в платформе Microsoft .NET и ASP.NET Core несут риски нарушения целостности данных и удаленного отказа в обслуживании. Наиболее опасна проблема в ASP.NET Core (CVE-2026-45591), допускающая атаку из сети без аутентификации. Microsoft выпустила патчи для всех затронутых версий. Промедление с обновлением может привести к компрометации приложений и их недоступности. Организациям необходимо незамедлительно установить обновления в соответствии с официальными бюллетенями.
Ссылки
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45491
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-45591
