2026年4月21日、Microsoftは .NET 10.0.7 を「アウトオブバンド (OOB)」更新として緊急リリースしました。

今回のアップデートは、以前のバージョンで発生していた重大な不具合の修正に加え、セキュリティ上の脆弱性を解決するための極めて重要なリリースとなっています。

特に ASP.NET Core を利用して Web アプリケーションを開発・運用しているエンジニアにとっては、早急な対応が必要な内容となっています。

本記事では、このアップデートの背景と具体的な修正内容、および開発者が取るべき対応について解説します。

目次 [ close ]
  1. 脆弱性と不具合の背景
    1. CVE-2026-40372:権限昇格の脆弱性
  2. 推奨される対応策
    1. 1. NuGet パッケージの更新
    2. 2. .NET SDK およびランタイムのインストール
  3. 修正バージョンの詳細
  4. まとめ

脆弱性と不具合の背景

今回の .NET 10.0.7 リリースは、定例のアップデート (Patch Tuesday) である 10.0.6 の後に報告された重大な問題を解決するためのものです。

10.0.6 のリリース直後、一部の開発者からアプリケーション内でデータの復号に失敗するという不具合が報告されました。

Microsoftがこの挙動を調査した結果、単なるデグレ (退行) に留まらない深刻なセキュリティ脆弱性が判明しました。

CVE-2026-40372:権限昇格の脆弱性

修正の対象となったのは CVE-2026-40372 です。

対象となるパッケージは Microsoft.AspNetCore.DataProtection のバージョン 10.0.0 から 10.0.6 までです。

このパッケージに含まれるマネージド認証暗号化プログラムにおいて、HMAC バリデーションタグの計算に誤りがあることが確認されました。

具体的には、ペイロードの誤ったバイト範囲に対してハッシュ計算が行われ、その結果として計算されたハッシュが破棄される可能性があるというものです。

この欠陥を悪用されると、攻撃者によって権限昇格 (Elevation of Privilege) を引き起こされるリスクがあります。

推奨される対応策

ASP.NET Core Data Protection を利用している環境では、可能な限り速やかに以下の対応を実施してください。

1. NuGet パッケージの更新

プロジェクトファイル (.csproj) 内で参照している Microsoft.AspNetCore.DataProtection のバージョンを 10.0.7 に更新します。

XML
<!-- プロジェクトファイル (.csproj) の修正例 -->
<ItemGroup>
  <!-- バージョンを 10.0.7 に指定して脆弱性を修正 -->
  <PackageReference Include="Microsoft.AspNetCore.DataProtection" Version="10.0.7" />
</ItemGroup>

コマンドラインインターフェース (CLI) を利用して更新する場合は、以下のコマンドを実行してください。

Shell
# 特定のパッケージを最新の修正バージョンに更新
dotnet add package Microsoft.AspNetCore.DataProtection --version 10.0.7

2. .NET SDK およびランタイムのインストール

開発環境およびサーバー環境において、.NET 10.0.7 の SDK またはランタイムをインストールしてください。

インストール後、正しく適用されているかを確認するには以下のコマンドを使用します。

Shell
# 現在の .NET 環境情報を出力
dotnet --info

出力結果のランタイム情報に、以下のバージョンが含まれていることを確認してください。

text
.NET runtimes installed:
  Microsoft.NETCore.App 10.0.7 [...]
  Microsoft.AspNetCore.App 10.0.7 [...]

修正バージョンの詳細

今回のアップデートに関連するリソースは以下の通りです。

項目内容・リンク
リリースノート10.0 release notes
インストーラー.NET 10.0.7 Download
コンテナイメージMicrosoft Artifact Registry
既知の問題GitHub Issue (Known Issues)

まとめ

今回の .NET 10.0.7 リリースは、機能の追加ではなく、セキュリティリスクの排除と致命的なバグの修正を目的とした重要なアップデートです。

特に ASP.NET Core の Data Protection 機能を利用しているアプリケーションにおいては、データの復号失敗という業務上の不具合だけでなく、権限昇格という重大なセキュリティリスクを抱えることになります。

2026年4月に公開されたこの最新パッチを速やかに適用し、アプリケーションの安全性と安定性を確保することを強く推奨します。

更新後は必ずアプリケーションの再ビルドと再デプロイを行い、正常に動作することを確認してください。