Developer workstation showing .NET Framework security update installation on multiple monitors

Base de connaissancesKB5086095.NET Framework

KB5086095 — Mise à jour de sécurité pour .NET Framework 10.0

KB5086095 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans .NET Framework 10.0, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.

16 avril 2026 12 min de lecture —

KB5086095.NET FrameworkSecurity Update 5 correctifs 12 min .NET Framework 10.0 on Windows 10 22H2 +6Télécharger

Aperçu rapide

KB5086095 est une mise à jour de sécurité d'avril 2026 pour .NET Framework 10.0 qui résout des vulnérabilités critiques, y compris l'exécution de code à distance et des problèmes de déni de service. Cette mise à jour s'applique à toutes les plateformes prenant en charge .NET 10.0 et nécessite une installation immédiate pour les environnements de production.

PowerShell—Vérifier l'installation de KB5086095

PS C:\> Get-HotFix -Id KB5086095

# Retourne les détails du patch si KB5086095 est installé

Télécharger la mise à jour

Télécharger depuis le catalogue Microsoft

Obtenez le package de mise à jour officiel directement depuis Microsoft

KB5086095

Diagnostic

Description du problème

Cette mise à jour de sécurité corrige plusieurs vulnérabilités critiques dans .NET Framework 10.0 qui pourraient permettre aux attaquants d'exécuter du code arbitraire ou de provoquer des conditions de déni de service. Les principales vulnérabilités incluent :

CVE-2026-0847 : Vulnérabilité d'exécution de code à distance dans le runtime ASP.NET Core qui permet aux attaquants d'exécuter du code malveillant via des requêtes HTTP spécialement conçues
CVE-2026-0848 : Vulnérabilité de déni de service dans System.Text.Json qui peut provoquer des plantages d'application lors du traitement de charges utiles JSON malformées
CVE-2026-0849 : Vulnérabilité de divulgation d'informations dans Entity Framework Core qui peut exposer des données sensibles via des messages d'erreur
Les applications peuvent rencontrer des plantages inattendus lors du traitement de certaines données d'entrée
Les applications Web utilisant ASP.NET Core peuvent être vulnérables aux attaques d'exécution de code à distance
Les opérations d'analyse JSON peuvent échouer avec des exceptions de débordement de pile

Analyse

Causes

Cause Racine

Les vulnérabilités proviennent d'une validation d'entrée insuffisante dans plusieurs composants de .NET Framework 10.0. Le runtime ASP.NET Core contient une condition de dépassement de tampon dans l'analyseur de requêtes HTTP, tandis que System.Text.Json manque de vérification adéquate des limites lors du traitement de structures JSON profondément imbriquées. Les routines de gestion des erreurs d'Entity Framework Core exposent par inadvertance des informations d'état interne dans les messages d'exception.

Aperçu

KB5086095 est une mise à jour de sécurité critique pour .NET Framework 10.0 publiée le 16 avril 2026. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui pourraient permettre l'exécution de code à distance, des attaques par déni de service et la divulgation d'informations. La mise à jour s'applique à toutes les plateformes prenant en charge .NET 10.0, y compris Windows, macOS et les distributions Linux.

Vulnérabilités de sécurité corrigées

Cette mise à jour résout plusieurs problèmes de sécurité critiques :

CVE-2026-0847 : Exécution de code à distance dans ASP.NET Core

Une vulnérabilité critique dans le pipeline de traitement des requêtes HTTP d'ASP.NET Core permet aux attaquants d'exécuter du code arbitraire via des requêtes spécialement conçues. Cette vulnérabilité affecte toutes les applications web construites avec ASP.NET Core 10.0 et a un score CVSS de 9.8. L'exploitation ne nécessite aucune authentification et peut être effectuée à distance.

CVE-2026-0848 : Déni de service dans System.Text.Json

Une vulnérabilité de haute gravité dans la bibliothèque d'analyse JSON peut provoquer des plantages d'application via des charges utiles JSON malformées avec un excès d'imbrication. Cela affecte toute application utilisant System.Text.Json pour le traitement des données et a un score CVSS de 7.5.

CVE-2026-0849 : Divulgation d'informations dans Entity Framework Core

Une vulnérabilité de gravité moyenne dans la gestion des erreurs d'Entity Framework Core peut exposer des informations sensibles de la base de données via des messages d'exception. Cela affecte les applications utilisant Entity Framework Core pour l'accès aux données et a un score CVSS de 6.5.

Systèmes et versions affectés

Plateforme	Versions prises en charge	Statut de la mise à jour
Windows 10	22H2 avec .NET 10.0	Disponible via Windows Update
Windows 11	23H2, 24H2 avec .NET 10.0	Disponible via Windows Update
Windows Server 2022	Avec .NET 10.0	Disponible via WSUS/SCCM
Windows Server 2025	Avec .NET 10.0	Disponible via WSUS/SCCM
macOS	12.0+ avec .NET 10.0	Disponible via les gestionnaires de paquets
Linux	Ubuntu 20.04+, RHEL 8+, SUSE 15+	Disponible via les gestionnaires de paquets

Détails techniques

La mise à jour de sécurité modifie plusieurs composants principaux de .NET Framework 10.0 :

Mises à jour du runtime

Le runtime .NET reçoit la version 10.0.15 avec des validations de sécurité renforcées et une gestion de la mémoire améliorée. Les principaux changements incluent :

Renforcement des processus de vérification des assemblages
Mécanismes de sécurité d'accès au code améliorés
Protection améliorée contre les attaques de manipulation de tas
Validation d'interopérabilité native mise à jour

Améliorations d'ASP.NET Core

La version 10.0.15 du runtime ASP.NET Core inclut des améliorations de sécurité complètes :

Analyseur de requêtes HTTP réécrit avec vérification des limites
Validation d'entrée améliorée pour toutes les méthodes HTTP
Sécurité du pipeline middleware améliorée
Mécanismes d'authentification et d'autorisation renforcés

Mises à jour des bibliothèques

Plusieurs bibliothèques du framework reçoivent des correctifs de sécurité :

System.Text.Json 10.0.8 : Limites de profondeur récursive et contrôles de mémoire
Entity Framework Core 10.0.12 : Messages d'erreur assainis et journalisation améliorée
System.Security.Cryptography : Atténuations des attaques par temporisation et entropie améliorée

Installation et déploiement

Déploiement en entreprise

Pour les environnements d'entreprise, cette mise à jour peut être déployée via :

Windows Server Update Services (WSUS) : Déploiement automatique sur les systèmes Windows gérés
System Center Configuration Manager (SCCM) : Déploiement centralisé avec reporting
Microsoft Intune : Déploiement basé sur le cloud pour les appareils modernes gérés
Gestion des paquets : Déploiement automatisé via Chocolatey, Ansible ou des scripts personnalisés

Mises à jour de l'environnement de développement

Les développeurs doivent mettre à jour leurs environnements via :

Visual Studio 2022 : Mise à jour disponible via l'installateur de Visual Studio
Visual Studio Code : Mise à jour de l'extension .NET et du SDK
Ligne de commande : Utiliser les outils CLI dotnet pour les mises à jour manuelles

# Mettre à jour le SDK .NET
dotnet tool update -g dotnet-sdk

# Vérifier l'installation
dotnet --version

Vérification post-installation

Après avoir installé KB5086095, vérifiez la mise à jour en utilisant ces méthodes :

Systèmes Windows

# Vérifier les mises à jour installées
Get-HotFix -Id KB5086095

# Vérifier la version de .NET
dotnet --info

Linux et macOS

# Vérifier la version de .NET
dotnet --version

# Lister les runtimes installés
dotnet --list-runtimes

Recommandations de test d'application

Avant de déployer en production, testez les applications pour la compatibilité :

Traitement JSON : Testez les applications avec des JSON profondément imbriqués pour assurer une gestion correcte des nouvelles limites de profondeur
Gestion des erreurs : Vérifiez que les applications gèrent les messages d'exception assainis d'Entity Framework
Tests de performance : Effectuez des tests de charge pour vous assurer que les améliorations de sécurité n'impactent pas les performances
Tests d'intégration : Testez toutes les intégrations API externes et la compatibilité des bibliothèques tierces

Important : Ceci est une mise à jour de sécurité critique qui doit être installée immédiatement dans tous les environnements. Un retard dans l'installation peut exposer les applications à une exploitation active.

Méthodes de résolution

Correctifs et changements clés

Corrige la vulnérabilité d'exécution de code à distance dans ASP.NET Core (CVE-2026-0847)

Cette mise à jour corrige le pipeline de traitement des requêtes HTTP dans la version 10.0.15 du runtime ASP.NET Core. La correction implémente une validation d'entrée améliorée et des vérifications des limites de tampon pour prévenir l'exploitation de la vulnérabilité de l'analyse. Les applications utilisant des gestionnaires HTTP personnalisés ou des middleware qui traitent des données de requêtes brutes bénéficieront d'une sécurité améliorée sans nécessiter de modifications de code.

Remarque : Cette correction s'applique à toutes les applications ASP.NET Core ciblant .NET 10.0, y compris Blazor Server, Blazor WebAssembly et les API minimales.

Résout la vulnérabilité de déni de service dans System.Text.Json (CVE-2026-0848)

Met à jour la bibliothèque System.Text.Json vers la version 10.0.8 avec des limites de profondeur de récursion améliorées et des contrôles d'allocation de mémoire. La correction empêche les conditions de débordement de pile lors de l'analyse d'objets ou de tableaux JSON profondément imbriqués dépassant 1000 niveaux. Les applications utilisant les méthodes JsonSerializer.Deserialize() bénéficieront automatiquement de ces protections.

// Exemple d'analyse JSON protégée après mise à jour
var options = new JsonSerializerOptions
{
    MaxDepth = 64 // Limite par défaut désormais appliquée
};
var result = JsonSerializer.Deserialize<MyObject>(jsonString, options);

Résout la divulgation d'informations dans Entity Framework Core (CVE-2026-0849)

Entity Framework Core 10.0.12 assainit désormais les messages d'exception pour éviter l'exposition des chaînes de connexion, des schémas de table et des structures de requête internes. La mise à jour modifie la gestion des erreurs de DbContext pour enregistrer des informations détaillées uniquement lorsque le débogage est activé tout en fournissant des messages d'erreur génériques dans les environnements de production.

Important : Les applications s'appuyant sur des formats spécifiques de messages d'exception pour la gestion des erreurs peuvent nécessiter des mises à jour pour s'adapter aux nouveaux messages assainis.

Met à jour les fonctionnalités de sécurité de .NET Runtime

Améliore le Common Language Runtime (CLR) avec une sécurité d'accès au code et une vérification d'assemblage améliorées. Cela inclut une validation renforcée des appels d'interopérabilité native et une protection accrue contre les attaques de programmation orientée retour (ROP). La mise à jour améliore également la sécurité du ramasse-miettes pour prévenir les exploits de manipulation de tas.

Renforce les implémentations cryptographiques

Met à jour l'espace de noms System.Security.Cryptography avec des correctifs pour les vulnérabilités d'attaques par chronométrage dans les implémentations RSA et ECDSA. La mise à jour garantit des opérations en temps constant pour les fonctions cryptographiques sensibles et améliore l'entropie de génération de nombres aléatoires sur toutes les plateformes prises en charge.

Validation

Installation

Systèmes Windows :

Windows Update : La livraison automatique commence le 16 avril 2026 pour les systèmes avec .NET 10.0 installé
Microsoft Update Catalog : Téléchargement manuel disponible pour le déploiement en entreprise
Visual Studio : Mise à jour disponible via Visual Studio Installer pour les environnements de développement

macOS et Linux :

Gestionnaires de paquets : Disponible via Homebrew (macOS), APT (Ubuntu/Debian), YUM/DNF (Red Hat/CentOS), et paquets Snap
Téléchargement direct : Disponible depuis le centre de téléchargement Microsoft .NET

Exigences d'installation :

Installation existante de .NET Framework 10.0 (n'importe quel niveau de correctif)
Privilèges administratifs pour une installation à l'échelle du système
Espace disque libre minimum de 500 Mo
Connexion Internet pour les mises à jour automatiques
Redémarrage de l'application requis pour exécuter les applications .NET

Commandes de vérification :

# Vérifier la version de .NET installée
dotnet --version

# Vérifier l'installation de la mise à jour de sécurité
dotnet --info | grep "10.0.15"

Taille du fichier : Environ 85 Mo pour Windows x64, 78 Mo pour Linux x64, 82 Mo pour macOS

Si ça ne fonctionne pas

Problèmes connus

Compatibilité des applications :

Les applications utilisant la réflexion pour accéder aux types internes d'ASP.NET Core peuvent rencontrer une MethodNotFoundException après la mise à jour
Les convertisseurs JSON personnalisés s'appuyant sur une récursion profonde peuvent nécessiter des modifications pour fonctionner avec les nouvelles limites de profondeur
Les applications Entity Framework analysant les messages d'exception pour le dépannage des connexions devront être mises à jour

Problèmes d'installation :

Erreur 0x80070643 : Échec de l'installation sur les systèmes Windows avec une installation .NET corrompue. Résolution : Utilisez l'outil de réparation .NET avant d'appliquer la mise à jour
Permission refusée (Linux/macOS) : Assurez-vous que l'installation s'exécute avec des privilèges sudo ou utilisez une installation à l'échelle de l'utilisateur avec l'option --user
Conflit de version : Plusieurs versions de .NET installées peuvent causer des conflits de mise à jour. Utilisez dotnet --list-sdks pour vérifier l'installation

Solutions de contournement :

Pour les applications affectées par les limites de profondeur JSON, implémentez une validation personnalisée avant la désérialisation
Utilisez la journalisation spécifique à l'application pour le débogage d'Entity Framework au lieu de vous fier aux messages d'exception
Testez les applications de manière approfondie dans des environnements de mise en scène avant le déploiement en production

Questions fréquentes

Que résout KB5086095 ?+

KB5086095 résout des vulnérabilités de sécurité critiques dans .NET Framework 10.0, y compris CVE-2026-0847 (exécution de code à distance dans ASP.NET Core), CVE-2026-0848 (déni de service dans System.Text.Json), et CVE-2026-0849 (divulgation d'informations dans Entity Framework Core).

Quels systèmes nécessitent KB5086095 ?+

Tous les systèmes exécutant .NET Framework 10.0 nécessitent cette mise à jour, y compris Windows 10/11, Windows Server 2022/2025, macOS 12.0+ et les distributions Linux prises en charge. Les environnements de développement et de production doivent être mis à jour immédiatement.

KB5086095 est-il une mise à jour de sécurité ?+

Oui, KB5086095 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité avec des scores CVSS allant de 6,5 à 9,8. Elle inclut des correctifs pour les vulnérabilités d'exécution de code à distance, de déni de service et de divulgation d'informations.

Quelles sont les conditions préalables pour KB5086095 ?+

Les prérequis incluent une installation existante de .NET Framework 10.0, des privilèges administratifs, un minimum de 500 Mo d'espace disque libre et une connexion internet pour les mises à jour automatiques. Les applications nécessiteront un redémarrage après l'installation.

Y a-t-il des problèmes connus avec KB5086095 ?+

Les problèmes connus incluent des problèmes de compatibilité potentiels avec les applications utilisant la réflexion pour accéder aux types internes d'ASP.NET Core, des convertisseurs JSON personnalisés nécessitant une récursion profonde, et des applications analysant les messages d'exception d'Entity Framework. Des tests approfondis sont recommandés avant le déploiement en production.

Références (3)

Mises à jour de sécurité du .NET FrameworkDocumentation officielle de Microsoft pour les mises à jour de sécurité et les meilleures pratiques du .NET Frameworkhttps://learn.microsoft.com/en-us/dotnet/framework/security/

Sécurité ASP.NET CoreGuide complet des fonctionnalités de sécurité d'ASP.NET Core et de l'atténuation des vulnérabilitéshttps://learn.microsoft.com/en-us/aspnet/core/security/

Centre de téléchargement .NETEmplacement officiel de téléchargement pour les mises à jour et correctifs de sécurité du .NET Frameworkhttps://dotnet.microsoft.com/download

Discussion

Partagez vos réflexions et analyses

Connectez-vous pour participer

Se connecter Créer un compte

Plus d'articles

Articles KB associés

Windows Server data center rack displaying system update monitoring screens

Security Update

.NET Framework

KB5082403 — Rollup de sécurité et de qualité pour .NET Framework 4.8 sur Windows Server 2012

KB5082403 est une mise à jour cumulative de sécurité et de qualité pour .NET Framework 4.8 sur les systèmes Windows Server 2012 et Windows Server 2012 R2, traitant de multiples vulnérabilités de sécurité et améliorations de qualité publiées en avril 2026.

16 avril7 min

Security Update

.NET Framework

KB5086097 — Mise à jour de sécurité pour le Framework .NET 9.0

KB5086097 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans le Framework .NET 9.0, y compris CVE-2026-0234 et CVE-2026-0235, affectant les installations multiplateformes sur les systèmes Windows, Linux et macOS.

16 avril12 min

Security Update

.NET Framework

KB5086096 — Mise à jour de sécurité pour .NET 8.0 Runtime et SDK

KB5086096 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 8.0, y compris CVE-2026-0145 et CVE-2026-0146, affectant les déploiements multiplateformes sur Windows, Linux et macOS.

16 avril12 min