🔥 この記事の詳細
2026-05-22 更新
C
月内に

MicrosoftのASP.NETおよびASP.NET Coreにおける脆弱性(CVE-2026-45585、通称「YellowKey」)

脆弱性🌐 英語ソース📰 5記事🌐 4 countries ⭐
🇺🇸 US (2) · 🇮🇹 Italy · 🇷🇺 Russia · 🇹🇭 Thailand
🔢 CVECVE-2026-45585
📅 2026-05-22📰 thaicert
📌 一言でいうと
MicrosoftのASP.NETおよびASP.NET Coreにおける脆弱性(CVE-2026-45585、通称「YellowKey」)が報告されました。攻撃者が公開されたMachine Keyや署名検証の不備を悪用して、偽造したViewStateを送信することで、IIS Webサーバー上で任意のコードを実行し、リモートでシステムを制御できる可能性があります。特にLinux、macOS、およびNon-Windows環境で動作するMicrosoft.AspNetCore.DataProtectionの特定バージョンが影響を受けます。
🔍該当判定
  • 自社で ASP.NET または ASP.NET Core を使用してWebアプリケーションを開発・運用している
  • Webサーバーとして Linux または macOS を利用している
  • Microsoft.AspNetCore.DataProtection のバージョンが 10.0.0 から 10.0.6 の範囲である
上記いずれにも該当しない → 静観でOK
該当時の対応
影響を受けるMicrosoft.AspNetCore.DataProtectionのバージョンを確認し、最新のセキュリティアップデートを適用してください。また、Machine Keyが外部に漏洩していないか確認し、必要に応じて更新してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】ASP.NET / ASP.NET Core (CVE-2026-45585) 対応について

お疲れさまです。ASP.NETおよびASP.NET Coreの脆弱性に関する情報共有です。

■ 概要
脆弱性「YellowKey」(CVE-2026-45585, CVSS 6.8) が報告されました。公開されたMachine Keyや署名検証の不備を悪用し、偽造ViewStateを介してIIS Webサーバー上でリモートコード実行 (RCE) が行われる可能性があります。

■ 影響範囲
- Microsoft.AspNetCore.DataProtection バージョン 10.0.0 ~ 10.0.6
- 特にLinux, macOS, および Non-Windows 環境で動作しているシステム

■ 対応手順
1. 利用しているライブラリのバージョンを確認し、最新の修正済みバージョンへアップデートしてください。
2. Machine Keyが公開設定になっていないか、または漏洩していないかを確認し、必要に応じて再生成してください。

■ 参考情報
- ThaiCERT / Microsoft 公式アドバイザリ

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] ASP.NET / ASP.NET Core Vulnerability (CVE-2026-45585)

Dear IT Administration Team,

We are sharing information regarding a vulnerability in ASP.NET and ASP.NET Core.

■ Overview
A vulnerability dubbed "YellowKey" (CVE-2026-45585, CVSS 6.8) has been disclosed. Attackers can leverage leaked Machine Keys or cryptographic signature verification flaws to forge ViewState data, potentially leading to Remote Code Execution (RCE) on the IIS Web Server.

■ Affected Scope
- Microsoft.AspNetCore.DataProtection versions 10.0.0 to 10.0.6
- Specifically systems running on Linux, macOS, and Non-Windows environments.

■ Mitigation Steps
1. Verify the version of the affected library and update to the latest patched version.
2. Audit Machine Key configurations to ensure they are not publicly exposed and rotate them if necessary.

■ Reference
- ThaiCERT / Microsoft Official Advisory

Priority: High
Deadline: Immediate
📰 関連する 4 件の記事
xakepMicrosoft BitLockerの暗号化を回避し、保護されたデータにアクセスできる0-day脆弱性「YellowKey…securityweekMicrosoftは、BitLockerの暗号化をバイパスできるゼロデイ脆弱性「YellowKey」(CVE-2026-45585)に対する…secaffairsMicrosoftは、BitLockerのセキュリティ機能をバイパスする脆弱性「YellowKey」(CVE-2026-45585)を認め…hackernewsMicrosoftは、BitLockerのセキュリティ機能をバイパスする脆弱性「YellowKey」(CVE-2026-45585)に対する…
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-22 のまとめ🔍 記事を検索