Platform
aspnet
Component
aspnet
Opgelost in
20260224
CVE-2026-5426 describes a critical Remote Code Execution (RCE) vulnerability affecting deployments of Digital Knowledge KnowledgeDeliver using ASP.NET/IIS. The vulnerability stems from a hard-coded machineKey value, which allows attackers to bypass ViewState validation mechanisms. This enables malicious ViewState deserialization attacks, potentially leading to complete system compromise. Affected versions are those prior to February 24, 2026, and a fix is available in version 20260224.
CVE-2026-5426 treft Digital Knowledge KnowledgeDeliver-implementaties vóór 24 februari 2026. De kwetsbaarheid zit in een hard-coded ASP.NET/IIS machineKey-waarde die is ingebed in de code van de applicatie. Deze machineKey is cruciaal voor ViewState-validatie, en zijn voorspelbaarheid stelt een aanvaller in staat om beveiligingsmechanismen te omzeilen en remote code-uitvoering te bereiken via kwaadaardige ViewState-deserialisatie. De potentiële impact is ernstig, wat mogelijk kan leiden tot een compromittering van de server, datadiefstal en ongeautoriseerde acties. Het ontbreken van een correct geroteerde of geconfigureerde machineKey stelt organisaties voor aanzienlijk risico bloot, vooral als KnowledgeDeliver gevoelige informatie of transacties verwerkt. Het is ten zeerste aanbevolen om de aangeboden update vóór de deadline toe te passen om dit risico te beperken.
Een aanvaller met toegang tot de KnowledgeDeliver-applicatie kan CVE-2026-5426 exploiteren door kwaadaardige ViewState-payloads te maken. Vanwege de hard-coded machineKey kan de ViewState-validatie gemakkelijk worden omzeild. Bij het deserialiseren van deze gemanipuleerde ViewState kan de aanvaller willekeurige code op de server injecteren en uitvoeren. Exploitatie vereist geen authenticatie, waardoor het risico toeneemt. De aanvaller zou bijvoorbeeld gegevens kunnen wijzigen, kwaadaardige inhoud in de applicatie kunnen invoegen of zelfs toegang krijgen tot het onderliggende systeem. De complexiteit van de exploitatie is relatief laag, waardoor deze toegankelijk is voor een breed scala aan aanvallers. Het ontbreken van voldoende machineKey-bescherming is de belangrijkste factor die deze exploitatie mogelijk maakt.
Organizations using Digital Knowledge KnowledgeDeliver deployments with ASP.NET/IIS are at risk, particularly those using older versions prior to 20260224. Shared hosting environments where multiple applications share the same server and configuration are especially vulnerable, as a compromise of one application could potentially expose the machineKey to other applications.
• windows / aspnet:
Get-Process | Where-Object {$_.ProcessName -like '*w3wp*'} | Select-Object -ExpandProperty Id• windows / aspnet:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\ASP.NET\4.0\Config' -Name machineKey• generic web: Use curl or wget to check for exposed ASP.NET pages and analyze response headers for ViewState information. Look for unusual or unexpected ViewState values. • generic web: Review IIS logs for unusual patterns related to ViewState deserialization attempts.
disclosure
Exploit Status
EPSS
0.07% (20% percentiel)
De oplossing voor CVE-2026-5426 is eenvoudig maar cruciaal: update de KnowledgeDeliver-implementatie naar een versie die is uitgebracht na 24 februari 2026. Deze update bevat een veilig en willekeurig gegenereerde machineKey, waardoor de kwetsbaarheid effectief wordt geëlimineerd. Versterk bovendien de beveiligingspraktijken van ASP.NET/IIS, waaronder regelmatige sleutelrotatie, robuuste wachtwoordbeleid en het toepassen van bijgewerkte beveiligingspatches. Het monitoren van applicatielogboeken op verdachte activiteiten met betrekking tot ViewState-deserialisatie kan ook helpen bij detectie en reactie. Het configureren van IIS om de toegang tot gevoelige configuratiebestanden te beperken, is een belangrijke preventieve maatregel. Tijdig patchen is de meest effectieve verdediging tegen deze kwetsbaarheid.
Actualice KnowledgeDeliver a una versión posterior a la fecha de febrero 24, 2026. Asegúrese de que la configuración de machineKey de ASP.NET/IIS sea segura y no estática para evitar la manipulación de ViewState y posibles ataques de ejecución remota de código.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ViewState is een ASP.NET-mechanisme om de status van een webpagina tussen verzoeken te behouden. Het slaat gegevens op binnen de HTML-pagina op en wordt met elk verzoek opnieuw verzonden.
De 'machineKey' wordt gebruikt om ViewState te versleutelen en te ontsleutelen. Een zwakke of voorspelbare 'machineKey' stelt aanvallers in staat om ViewState te manipuleren en kwaadaardige code uit te voeren.
Als een onmiddellijke update niet mogelijk is, implementeer dan afzwakkingmaatregelen, zoals het beperken van de toegang tot de applicatie en het monitoren van logboeken op verdachte activiteiten.
Webapplicatiebeveiligingstools kunnen helpen bij het detecteren van kwaadaardige ViewState, maar preventie door patchen is de beste optie.
ASP.NET genereert automatisch een veilige 'machineKey' als deze correct is geconfigureerd. Zorg ervoor dat het web.config-bestand is beveiligd en dat de 'machineKey' niet hard-coded is in de broncode.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.