🦫 Nieuws Bever

Microsoft heeft out-of-band updates uitgebracht voor een fout in ASP

Door Tuinbever #CVE, #Windows security
Microsoft heeft out-of-band updates uitgebracht voor een fout in ASP

Microsoft heeft out-of-band updates uitgebracht voor een fout in ASP.NET Core. Die fout kan ervoor zorgen dat een aanvaller meer rechten krijgt dan hij of zij hoort te hebben. Het gaat om

CVE-2026-40372

.Microsoft geeft er een

CVSS-score van 9,1

aan en noemt het

Important

.

De kern is simpel: er zit een beveiligingslek in ASP.NET Core, en Microsoft vond het belangrijk genoeg om extra updates buiten de normale updatecyclus uit te brengen. Dat is vaak een teken dat iets snel dicht moet.

Volgens de bron kan deze fout leiden tot privilege escalation. Dat betekent dat iemand met te weinig rechten ineens hoger binnen kan komen in een systeem of app. Voor een gewone gebruiker klinkt dat misschien abstract, maar in de praktijk is het precies het soort fout dat een aanvaller meer grip kan geven op een server of webapp.

Een anonieme onderzoeker heeft de fout ontdekt en gemeld.

Wat maakt dit anders?

Er zijn heel veel updates die “gewoon” iets fixen.Maar een

out-of-band update

komt extra tussendoor. Microsoft wacht dan niet tot de normale ronde, maar duwt de update eerder uit omdat het risico daar om vraagt.

Dat zegt nog niet alles over hoe het lek precies misbruikt wordt. Maar het laat wel zien dat Microsoft dit serieus neemt. zeker bij een onderdeel als ASP.NET Core, dat vooral bij webapps en backend-diensten gebruikt wordt, kan zo’n fout snel meerdere systemen raken als diezelfde bouwsteen op meer plekken draait.

Voor wie telt dit mee?

Vooral voor mensen en bedrijven die zelf apps, websites of diensten draaien op

ASP.NET Core

. Denk aan:

  • webapplicaties van kleine bedrijven
  • interne portalen
  • klantomgevingen
  • sites of tools die op een eigen server draaien

Heb je zelf geen applicatiebeheerder in huis, maar wel een partij die je website of bedrijfssoftware beheert? Dan is dit ook iets om niet te negeren.Want als die omgeving ASP.NET Core gebruikt,moet iemand daar de update nalopen.

Voor gewone laptop- of telefoongebruikers is dit minder iets om zelf op te lossen. Maar als je werkt met een zakelijke portal of een webapp die ineens onderhoud krijgt, dan kan dit daarachter zitten.

Wat merk jij hiervan?

Meestal merk je als gebruiker niet direct dat er zo’n lek is.Er staat niet meteen een pop-up op je scherm met “nu gevaar”.Het probleem zit onder de motorkap.

Wat je wél kunt merken:

  • een website of intern portaal kan tijdelijk traag zijn of even niet werken door onderhoud
  • een beheerder kan vragen om later terug te komen omdat er een veiligheidsupdate draait
  • als je afhankelijk bent van een bedrijfsapp,kan een update kort iets verstoren

Voor zzp’ers en kleine bedrijven is vooral dit belangrijk: als je een eigen webapp of klantomgeving gebruikt,wil je niet afwachten tot iemand anders het oppikt. Een fout als deze kan meer rechten geven aan iemand die er niet hoort te zijn. En dat is precies het soort gedoe waar je liever op tijd bij bent. 🦫

In het kort

PuntWat betekent het?
FoutLek in ASP.NET Core
GevolgMeer rechten voor een aanvaller
ErnstImportant, CVSS 9,1
Actiemicrosoft-update nalopen en installeren

Wat kun je nu doen?

Als jij of je IT-partij ASP.NET Core gebruikt, is dit het moment om de update te checken. Niet wachten tot de volgende vaste patchronde als je omgeving hier last van kan hebben.

Handig om nu na te lopen:

  • draait er ergens een app of site op ASP.NET core?
  • worden microsoft-updates normaal gesproken automatisch doorgezet?
  • is er een beheerder of hostingpartij die dit moet installeren?
  • staat er ergens een onderhoudsmelding of patchbericht open?

gebruik je beheerportal of cloudomgeving? Kijk dan of daar al een melding staat over deze out-of-band update. Microsoft heeft hiervoor een update uitgebracht, dus de kans is groot dat een beheerder die al kan meenemen in de eerstvolgende onderhoudsstap. Voor Microsoft-informatie kun je kijken op de Microsoft Security Response Center.

Als je zelf niets beheert maar wel software afneemt: stel gewoon een korte vraag aan je leverancier.“Gebruiken jullie ASP.NET Core en is CVE-2026-40372 al meegenomen?” Meer hoeft het vaak niet te zijn.

Goed om te onthouden

Dit soort nieuws gaat niet over een virusscanner op je laptop of een verdacht mailtje in je inbox.Het gaat over de laag daarachter: de techniek waarop een webapp draait. Juist daarom voelen zulke fouten vaak onzichtbaar, tot er iets misgaat.

De belangrijkste punten zijn:

  • Microsoft heeft een extra update uitgebracht
  • het lek zit in ASP.NET Core
  • de fout kan leiden tot meer rechten voor een aanvaller
  • de ernst is hoog genoeg om serieus te nemen
  • wie apps of sites beheert, moet dit even nalopen

Voor kleine bedrijven is de les simpel: als je websoftware draait, hoort patchen erbij. Niet alleen als het handig is, maar ook als het tussendoor en onverwacht moet. Dat is soms saai werk, maar het houdt de bevers in de dam.

Als je dit nieuws volgt, is Google heeft een fout in zijn agentische IDE Antigravity laten patchen ook nog wel interessant.

Meer lezen

De bron achter dit nieuws kun je ook zelf nalezen via Microsoft Patches Critical ASP.NET Core CVE-2026-40372 Privilege Escalation Bug.

Bevers gedachte

Dit is precies zo’n update die je niet wilt laten liggen. Niet omdat iedereen nu meteen iets merkt, maar omdat een fout met hogere rechten later veel schade kan geven als die open blijft staan. Wie ASP.NET Core gebruikt, doet er goed aan dit snel even te checken.

Je miste

🦫 Download bever

EasyBackup: je pc simpel back-uppen

🦫 Software Bever

Wat is dit precies?

🦫 AI Bever

Open WebUI: zo begin je thuis zonder gedoe

🦫 Download bever

Bigasoft Video Downloader Pro: media slim opslaan