Back to Blog

ไมโครซอฟท์อัปเดตด่วนแก้ไขช่องโหว่ ASP.NET Core CVE-2026-40372 เสี่ยงสิทธิ์ผู้ดูแลระบบ

ไมโครซอฟท์ออกอัปเดตด่วนแก้ไขช่องโหว่ ASP.NET Core CVE-2026-40372 คะแนน CVSS 9.1 เสี่ยงยกระดับสิทธิ์ผู้โจมตี แนะนำผู้ใช้ติดตั้งทันที

Sales
1 min read
ไมโครซอฟท์อัปเดตด่วนแก้ไขช่องโหว่ ASP.NET Core CVE-2026-40372 เสี่ยงสิทธิ์ผู้ดูแลระบบ

ไมโครซอฟท์ได้ปล่อยอัปเดตนอกรอบปกติเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยใน ASP.NET Core ซึ่งอาจทำให้ผู้โจมตีสามารถยกระดับสิทธิ์การเข้าถึงระบบได้โดยไม่ได้รับอนุญาต ช่องโหว่ดังกล่าวถูกระบุเป็น CVE-2026-40372 และได้รับคะแนน CVSS สูงถึง 9.1 จาก 10 ซึ่งถือว่ารุนแรงมาก แม้ทางไมโครซอฟท์จะจัดระดับความรุนแรงไว้ที่ Important เท่านั้น แต่ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้อัปเดตโดยด่วน

ช่องโหว่นี้เกิดจากการตรวจสอบการเข้ารหัสที่ไม่ถูกต้อง ซึ่งเปิดช่องให้ผู้โจมตีที่สามารถเข้าถึงระบบในระดับผู้ใช้ทั่วไปสามารถขยายสิทธิ์เป็นระดับผู้ดูแลระบบได้โดยง่าย ผู้ค้นพบช่องโหว่เป็นนักวิจัยนิรนามที่รายงานให้ไมโครซอฟท์ทราบ และได้รับการยกย่องในเครดิตของแพตช์ดังกล่าว


รายละเอียดของช่องโหว่ CVE-2026-40372


ช่องโหว่ CVE-2026-40372 เป็นช่องโหว่ประเภท Privilege Escalation หรือการยกระดับสิทธิ์ ซึ่งส่งผลกระทบโดยตรงต่อความปลอดภัยของแอปพลิเคชันที่ใช้ ASP.NET Core นักวิจัยพบว่าการตรวจสอบลายเซ็นดิจิทัลหรือข้อมูลการเข้ารหัสบางประเภทไม่สมบูรณ์ ทำให้ผู้โจมตีสามารถปลอมแปลงคำขอและเข้าถึงฟังก์ชันที่มีสิทธิ์สูงกว่าได้


ความรุนแรงและผลกระทบต่อผู้ใช้งาน


คะแนน CVSS 9.1 บ่งชี้ว่าช่องโหว่นี้มีความรุนแรงสูงมาก เนื่องจากไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้ และสามารถถูกโจมตีผ่านเครือข่ายได้โดยตรง ส่งผลกระทบต่อระบบปฏิบัติการและแอปพลิเคชันที่ใช้ ASP.NET Core ทุกเวอร์ชันที่ได้รับผลกระทบ องค์กรที่ใช้เทคโนโลยีนี้ควรดำเนินการอัปเดตทันทีเพื่อลดความเสี่ยง


แนวทางการอัปเดตและป้องกัน


ไมโครซอฟท์แนะนำให้ผู้ใช้และผู้ดูแลระบบดาวน์โหลดและติดตั้งอัปเดตล่าสุดผ่านช่องทางปกติของ Windows Update หรือจากศูนย์ดาวน์โหลดของไมโครซอฟท์ การอัปเดตนอกรอบนี้ไม่ต้องรอรอบ Patch Tuesday ปกติ ดังนั้นควรดำเนินการโดยเร็วที่สุด นอกจากนี้ควรตรวจสอบนโยบายการเข้าถึงระบบและสิทธิ์ของผู้ใช้อย่างสม่ำเสมอ


คำแนะนำสำหรับนักพัฒนาและองค์กร


นักพัฒนาที่ใช้ ASP.NET Core ควรตรวจสอบว่าแอปพลิเคชันของตนได้รับการอัปเดตเป็นเวอร์ชันล่าสุดที่มีแพตช์นี้แล้ว รวมถึงทบทวนโค้ดที่เกี่ยวข้องกับการตรวจสอบความถูกต้องของข้อมูลและการเข้ารหัส นอกจากนี้ องค์กรควรมีกระบวนการจัดการช่องโหว่ที่มีประสิทธิภาพ และติดตามประกาศด้านความปลอดภัยจากไมโครซอฟท์อย่างต่อเนื่อง


Reference


The Hacker News

หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม

💬 Line @monsteronline

☎️ Tel 02-026-6664

📩 Email [email protected]

🌐 ดูสินค้าเพิ่มเติม mon.co.th

แชทผ่าน LINEดูสินค้าทั้งหมด