Plateforme
aspnet
Composant
aspnet
Corrigé dans
20260224
CVE-2026-5426 describes a critical Remote Code Execution (RCE) vulnerability affecting deployments of Digital Knowledge KnowledgeDeliver using ASP.NET/IIS. The vulnerability stems from a hard-coded machineKey value, which allows attackers to bypass ViewState validation mechanisms. This enables malicious ViewState deserialization attacks, potentially leading to complete system compromise. Affected versions are those prior to February 24, 2026, and a fix is available in version 20260224.
CVE-2026-5426 affecte les déploiements Digital Knowledge KnowledgeDeliver antérieurs au 24 février 2026. La vulnérabilité réside dans une valeur 'machineKey' codée en dur dans le code source ASP.NET/IIS. Cette valeur, essentielle à la validation du ViewState, permet à un attaquant de contourner les mécanismes de sécurité et d'exécuter du code malveillant à distance. La désérialisation malveillante du ViewState devient un vecteur d'attaque viable, compromettant l'intégrité et la confidentialité de l'application. L'impact potentiel est sévère, incluant la prise de contrôle du serveur, le vol de données sensibles et l'exécution d'actions non autorisées. L'absence de rotation ou de configuration appropriée de la 'machineKey' expose les organisations à un risque important, en particulier si KnowledgeDeliver traite des informations critiques ou des transactions sensibles. Il est fortement recommandé d'appliquer la mise à jour fournie avant la date limite afin d'atténuer ce risque.
Un attaquant ayant accès à l'application KnowledgeDeliver peut exploiter CVE-2026-5426 en créant des ViewState malveillants. En raison de la 'machineKey' codée en dur, la validation du ViewState peut être facilement contournée. Lors de la désérialisation de ce ViewState manipulé, l'attaquant peut injecter et exécuter du code arbitraire sur le serveur. L'exploitation ne nécessite pas d'authentification, ce qui augmente le risque. L'attaquant pourrait, par exemple, modifier des données, insérer du contenu malveillant dans l'application ou même obtenir un accès au système sous-jacent. La complexité de l'exploitation est relativement faible, ce qui la rend accessible à un large éventail d'attaquants. L'absence de protection adéquate de la 'machineKey' est le facteur clé qui permet cette exploitation.
Organizations using Digital Knowledge KnowledgeDeliver deployments with ASP.NET/IIS are at risk, particularly those using older versions prior to 20260224. Shared hosting environments where multiple applications share the same server and configuration are especially vulnerable, as a compromise of one application could potentially expose the machineKey to other applications.
• windows / aspnet:
Get-Process | Where-Object {$_.ProcessName -like '*w3wp*'} | Select-Object -ExpandProperty Id• windows / aspnet:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\ASP.NET\4.0\Config' -Name machineKey• generic web: Use curl or wget to check for exposed ASP.NET pages and analyze response headers for ViewState information. Look for unusual or unexpected ViewState values. • generic web: Review IIS logs for unusual patterns related to ViewState deserialization attempts.
disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 20%)
La solution à CVE-2026-5426 est simple mais critique : mettre à jour le déploiement KnowledgeDeliver vers une version ultérieure au 24 février 2026. Cette mise à jour inclut une 'machineKey' générée de manière sécurisée et aléatoire, éliminant ainsi la vulnérabilité. De plus, examinez et renforcez les pratiques de sécurité ASP.NET/IIS, notamment la rotation régulière des clés, la mise en œuvre de politiques de mots de passe robustes et l'application de correctifs de sécurité mis à jour. Surveiller les journaux de l'application à la recherche d'activités suspectes liées à la désérialisation du ViewState peut également aider à la détection et à la réponse. La configuration de IIS pour restreindre l'accès aux fichiers de configuration sensibles est également une mesure préventive importante. La mise à jour opportune est la défense la plus efficace contre cette vulnérabilité.
Actualice KnowledgeDeliver a una versión posterior a la fecha de febrero 24, 2026. Asegúrese de que la configuración de machineKey de ASP.NET/IIS sea segura y no estática para evitar la manipulación de ViewState y posibles ataques de ejecución remota de código.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
ViewState est un mécanisme ASP.NET pour maintenir l'état d'une page web entre les requêtes. Il stocke des données dans la page HTML et est renvoyé avec chaque requête.
La 'machineKey' est utilisée pour chiffrer et déchiffrer le ViewState. Une 'machineKey' faible ou prévisible permet aux attaquants de manipuler le ViewState et d'exécuter du code malveillant.
Si la mise à jour immédiate n'est pas possible, mettez en œuvre des mesures d'atténuation telles que la restriction de l'accès à l'application et la surveillance des journaux à la recherche d'activités suspectes.
Il existe des outils de sécurité des applications web qui peuvent aider à détecter le ViewState malveillant, mais la prévention par la mise à jour est la meilleure option.
ASP.NET génère automatiquement une 'machineKey' sécurisée si elle est correctement configurée. Assurez-vous que le fichier web.config est protégé et que la 'machineKey' n'est pas codée en dur dans le code source.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.