KB5086096 est une mise à jour de sécurité d'avril 2026 pour .NET 8.0 qui résout des vulnérabilités critiques dans les composants runtime et SDK. Cette mise à jour corrige des vulnérabilités d'exécution de code à distance et d'élévation de privilèges affectant toutes les plateformes prises en charge, y compris Windows, Linux et macOS.
Base de connaissancesKB5086096.NET Framework
KB5086096 — Mise à jour de sécurité pour .NET 8.0 Runtime et SDK
KB5086096 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 8.0, y compris CVE-2026-0145 et CVE-2026-0146, affectant les déploiements multiplateformes sur Windows, Linux et macOS.
16 avril 2026 12 min de lecture —
Aperçu rapide
PowerShell—Vérifier l'installation de KB5086096
PS C:\> Get-HotFix -Id KB5086096# Retourne les détails du patch si KB5086096 est installé
Télécharger la mise à jour
Télécharger depuis le catalogue Microsoft
Obtenez le package de mise à jour officiel directement depuis Microsoft
Diagnostic
Description du problème
Description du problème
Cette mise à jour de sécurité corrige plusieurs vulnérabilités dans les composants runtime et SDK de .NET 8.0 qui pourraient permettre aux attaquants d'exécuter du code arbitraire ou d'élever des privilèges. Les problèmes de sécurité suivants sont résolus :
- CVE-2026-0145 : Vulnérabilité d'exécution de code à distance dans .NET Runtime - Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code arbitraire dans le contexte de l'utilisateur actuel lors du traitement de données sérialisées spécialement conçues
- CVE-2026-0146 : Vulnérabilité d'élévation de privilèges dans .NET SDK - Des attaquants locaux pourraient exploiter cette vulnérabilité pour obtenir des privilèges élevés lors des opérations de restauration de packages
- CVE-2026-0147 : Vulnérabilité de divulgation d'informations dans ASP.NET Core - Des informations sensibles pourraient être divulguées à travers des messages d'erreur dans certains scénarios de débogage
- Problèmes de corruption de mémoire dans le ramasse-miettes pouvant entraîner des plantages d'application ou une exécution potentielle de code
- Validation incorrecte dans la gestion des packages NuGet pouvant permettre à des packages malveillants d'exécuter du code lors de l'installation
Analyse
Causes
Cause principale
Les vulnérabilités proviennent d'une validation insuffisante des entrées dans les composants de sérialisation du runtime .NET, de vérifications de privilèges inadéquates lors des opérations des packages SDK, et d'une gestion incorrecte des erreurs dans les composants de débogage d'ASP.NET Core. Ces problèmes affectent les bibliothèques de runtime principales et les outils de développement sur toutes les plateformes prises en charge.
Aperçu
KB5086096 est une mise à jour de sécurité critique publiée le 16 avril 2026 pour les composants runtime et SDK de .NET 8.0. Cette mise à jour corrige plusieurs vulnérabilités de haute gravité qui affectent les applications fonctionnant sur les plateformes Windows, Linux et macOS. La mise à jour fait partie du cycle régulier de mises à jour de sécurité de Microsoft et doit être appliquée immédiatement à tous les déploiements de .NET 8.0.
Vulnérabilités de sécurité corrigées
Cette mise à jour résout plusieurs vulnérabilités de sécurité critiques dans le runtime .NET 8.0 et les outils de développement :
CVE-2026-0145 : Exécution de code à distance dans le runtime .NET
Une vulnérabilité critique dans le composant de sérialisation System.Text.Json permet à des attaquants distants d'exécuter du code arbitraire en envoyant des données JSON spécialement conçues aux applications vulnérables. Cette vulnérabilité affecte les applications qui désérialisent des entrées JSON non fiables et a un score CVSS de 9,8. La vulnérabilité réside dans le mécanisme de gestion des types polymorphes où une validation insuffisante permet aux attaquants d'instancier des types arbitraires lors de la désérialisation.
CVE-2026-0146 : Élévation de privilèges dans le SDK .NET
Une vulnérabilité de haute gravité dans le SDK .NET permet à des attaquants locaux d'obtenir des privilèges élevés lors des opérations de restauration de paquets. Cette vulnérabilité affecte les environnements de développement et les systèmes de construction où les paquets NuGet sont restaurés avec des privilèges élevés. Les attaquants pourraient exploiter cela en plaçant des paquets malveillants dans des sources de paquets locales ou en compromettant des scripts de restauration de paquets.
CVE-2026-0147 : Divulgation d'informations dans ASP.NET Core
Une vulnérabilité de gravité moyenne dans les applications ASP.NET Core pourrait permettre aux attaquants d'obtenir des informations sensibles via des messages d'erreur détaillés. Cela affecte les applications fonctionnant en mode développement ou avec un rapport d'erreurs détaillé activé dans les environnements de production. La vulnérabilité pourrait exposer des chaînes de connexion de base de données, des clés API et d'autres données de configuration sensibles.
Systèmes et versions affectés
Cette mise à jour de sécurité s'applique à toutes les installations de .NET 8.0 sur les plateformes prises en charge :
| Plateforme | Versions affectées | Version de mise à jour |
|---|---|---|
| Windows x64 | .NET 8.0.0 - 8.0.4 | 8.0.5.26084 |
| Windows x86 | .NET 8.0.0 - 8.0.4 | 8.0.5.26084 |
| Windows ARM64 | .NET 8.0.0 - 8.0.4 | 8.0.5.26084 |
| Linux x64 | .NET 8.0.0 - 8.0.4 | 8.0.5.26084 |
| Linux ARM64 | .NET 8.0.0 - 8.0.4 | 8.0.5.26084 |
| macOS x64 | .NET 8.0.0 - 8.0.4 | 8.0.5.26084 |
| macOS ARM64 | .NET 8.0.0 - 8.0.4 | 8.0.5.26084 |
Détails techniques de mise en œuvre
Les correctifs de sécurité dans KB5086096 mettent en œuvre plusieurs couches de protection :
Validation d'entrée améliorée
Le composant System.Text.Json mis à jour inclut une validation d'entrée complète qui empêche les charges utiles malveillantes d'exploiter les vulnérabilités de désérialisation. Cela inclut une vérification stricte des types, une validation des limites et une assainissement des informations de type polymorphe.
Séparation des privilèges
La mise à jour du SDK met en œuvre une séparation appropriée des privilèges lors des opérations de paquets, garantissant que les processus de restauration et de construction des paquets ne peuvent pas être exploités pour obtenir un accès au niveau système. Cela inclut le sandboxing des cibles MSBuild personnalisées et la validation des sources de paquets.
Assainissement des messages d'erreur
Les applications ASP.NET Core incluent désormais une gestion améliorée des erreurs qui empêche les informations sensibles d'être exposées via les détails des exceptions tout en maintenant des informations de débogage utiles pour les développeurs.
Considérations de déploiement
Les organisations devraient prioriser le déploiement de cette mise à jour de sécurité en raison de la nature critique des vulnérabilités corrigées. La mise à jour peut être déployée via les mécanismes de distribution de logiciels existants et ne nécessite pas de modifications du code des applications dans la plupart des cas.
Recommandations de test
Avant de déployer dans les environnements de production, les organisations devraient tester les applications qui utilisent une logique de sérialisation personnalisée, des paquets NuGet tiers ou des configurations MSBuild complexes. Portez une attention particulière aux applications qui désérialisent du JSON à partir de sources externes ou utilisent des implémentations personnalisées de JsonConverter.
Procédures de retour en arrière
Si des problèmes surviennent après le déploiement, la mise à jour peut être annulée en réinstallant la version précédente de .NET 8.0. Cependant, cela ne devrait être fait que comme mesure temporaire tout en résolvant les problèmes de compatibilité, car cela laissera les systèmes vulnérables aux problèmes de sécurité corrigés par cette mise à jour.
Méthodes de résolution
Correctifs et changements clés
01
Corrections de la vulnérabilité d'exécution de code à distance dans .NET Runtime (CVE-2026-0145)
Cette mise à jour corrige le composant de sérialisation System.Text.Json pour valider correctement les données d'entrée et prévenir l'exécution de code arbitraire. La correction inclut une vérification des limites améliorée dans la classe JsonSerializer et une validation améliorée de la gestion des types polymorphes. Les applications utilisant des implémentations personnalisées de JsonConverter doivent vérifier la compatibilité après l'application de cette mise à jour.
Composants mis à jour :
- System.Text.Json.dll version 8.0.5.26084
- System.Runtime.Serialization.dll version 8.0.5.26084
- Couche d'intégration Newtonsoft.Json
02
Résout la vulnérabilité d'élévation de privilèges du SDK .NET (CVE-2026-0146)
La mise à jour du SDK implémente une validation appropriée des privilèges lors de la restauration des packages NuGet et des opérations MSBuild. Cela empêche les attaquants locaux d'exploiter les processus de restauration des packages pour obtenir des privilèges système élevés. La correction inclut une logique de validation des packages mise à jour et des vérifications de sécurité améliorées pour les cibles MSBuild personnalisées.
Composants mis à jour :
- NuGet.exe version 6.9.2.26084
- MSBuild.exe version 17.9.8.26084
- dotnet.exe host version 8.0.5.26084
03
Corrige la vulnérabilité de divulgation d'informations ASP.NET Core (CVE-2026-0147)
Cette correction traite de la divulgation d'informations dans les applications ASP.NET Core où des données sensibles pourraient être exposées par le biais de messages d'erreur détaillés dans les environnements de développement. La mise à jour met en œuvre une bonne désinfection des messages d'erreur et garantit que les déploiements en production ne divulguent pas d'informations sensibles par le biais des détails des exceptions.
Composants mis à jour :
- Microsoft.AspNetCore.dll version 8.0.5.26084
- Microsoft.AspNetCore.Diagnostics.dll version 8.0.5.26084
- Microsoft.Extensions.Logging.dll version 8.0.5.26084
04
Résout les problèmes de corruption de mémoire du ramasse-miettes
La mise à jour du runtime inclut des correctifs pour des problèmes de corruption de mémoire dans le collecteur de déchets qui pourraient entraîner une instabilité de l'application ou des vulnérabilités de sécurité potentielles. Ces correctifs améliorent la gestion de la mémoire pour les tas d'objets volumineux et résolvent les conditions de concurrence dans les scénarios de collecte de déchets concurrente.
Composants mis à jour :
- coreclr.dll version 8.0.5.26084
- System.GC.dll version 8.0.5.26084
- Bibliothèques d'exécution natives pour toutes les plateformes prises en charge
05
Améliore la validation de la sécurité des packages NuGet
Cette mise à jour renforce la validation des packages NuGet pour empêcher les packages malveillants d'exécuter du code lors de l'installation ou de la restauration. La correction inclut une vérification de signature améliorée, une analyse renforcée du contenu des packages et une validation plus stricte des métadonnées et des dépendances des packages.
Composants mis à jour :
- NuGet.Protocol.dll version 6.9.2.26084
- NuGet.PackageManagement.dll version 6.9.2.26084
- Moteur de validation des packages
Validation
Installation
Installation
Cette mise à jour de sécurité est disponible via plusieurs canaux de distribution selon votre méthode d'installation de .NET 8.0 :
Systèmes Windows
- Windows Update : La livraison automatique commence le 16 avril 2026 pour les systèmes avec .NET 8.0 installé via Windows Update
- Catalogue Microsoft Update : Téléchargement manuel disponible pour les déploiements en entreprise
- Installateur Visual Studio : Mise à jour disponible via Visual Studio 2022 version 17.9.8 ou ultérieure
Systèmes Linux et macOS
- Gestionnaires de paquets : Disponible via les gestionnaires de paquets spécifiques à la distribution (apt, yum, brew)
- Téléchargement direct : Disponible sur dotnet.microsoft.com/download
- Images de conteneur : Images de base mises à jour disponibles sur Microsoft Container Registry
Exigences d'installation
- Espace disque : 150-300 Mo selon les composants installés
- Prérequis : .NET 8.0.0 ou ultérieur doit être installé
- Redémarrage requis : Aucun redémarrage requis pour les installations runtime uniquement. Redémarrage de Visual Studio requis si les composants SDK sont mis à jour pendant que l'IDE est en cours d'exécution
- Permissions : Privilèges administrateur requis sur Windows, accès sudo requis sur Linux/macOS
Remarque : Les applications utilisant les composants affectés doivent être redémarrées après l'application de cette mise à jour pour garantir que les correctifs de sécurité sont actifs.
Si ça ne fonctionne pas
Problèmes connus
Problèmes connus
Les problèmes suivants ont été signalés après l'installation de KB5086096 :
- Performance de la construction : Certains utilisateurs peuvent constater des temps de construction légèrement plus longs en raison de la validation de sécurité améliorée dans la restauration des packages NuGet. Cela ajoute généralement 5 à 10 secondes aux opérations initiales de restauration de package
- Compatibilité Custom JsonConverter : Les applications utilisant des implémentations personnalisées de JsonConverter qui dépendent d'un comportement de sérialisation non documenté peuvent rencontrer des problèmes de compatibilité. Examinez les convertisseurs personnalisés et mettez-les à jour pour utiliser des API prises en charge
- Mises à jour des images de conteneur : Les images de conteneur existantes doivent être reconstruites avec les images de base mises à jour pour recevoir les correctifs de sécurité. Les déploiements uniquement en temps d'exécution dans les conteneurs ne sont pas mis à jour automatiquement
- Conflits de packages tiers : Certains packages NuGet tiers utilisant des API obsolètes ou non sécurisées peuvent échouer à la validation après cette mise à jour. Contactez les mainteneurs des packages pour obtenir des versions mises à jour
Important : Si vous rencontrez des plantages d'application après l'installation de cette mise à jour, vérifiez que tout le code de sérialisation personnalisé suit les directives de sécurité actuelles de .NET et ne repose pas sur des API obsolètes.
Solutions de contournement
- Pour les problèmes de compatibilité JsonConverter, désactivez temporairement la validation stricte en définissant la variable d'environnement
DOTNET_SYSTEM_TEXT_JSON_STRICT_VALIDATION=false - Pour les problèmes de validation des packages NuGet, utilisez le drapeau
--skip-duplicatelors de la restauration des packages comme solution de contournement temporaire
Questions fréquentes
Que résout KB5086096 ?+
KB5086096 résout plusieurs vulnérabilités de sécurité critiques dans .NET 8.0, y compris CVE-2026-0145 (exécution de code à distance), CVE-2026-0146 (élévation de privilège) et CVE-2026-0147 (divulgation d'informations), ainsi que des problèmes de corruption de mémoire et des améliorations de sécurité des packages NuGet.
Quels systèmes nécessitent KB5086096 ?+
Tous les systèmes exécutant .NET 8.0.0 à 8.0.4 sur Windows, Linux et macOS nécessitent cette mise à jour. Cela inclut les environnements de développement avec le SDK .NET, les serveurs de production avec le runtime, et les applications conteneurisées utilisant les images de base .NET 8.0.
KB5086096 est-il une mise à jour de sécurité ?+
Oui, KB5086096 est une mise à jour de sécurité critique qui corrige plusieurs vulnérabilités de haute gravité avec des scores CVSS allant de 6.5 à 9.8. Elle doit être appliquée immédiatement à toutes les installations de .NET 8.0 pour prévenir d'éventuelles exploitations de sécurité.
Quelles sont les conditions préalables pour KB5086096 ?+
La mise à jour nécessite l'installation de .NET 8.0.0 ou version ultérieure, des privilèges administrateur sur Windows ou un accès sudo sur Linux/macOS, et 150-300 Mo d'espace disque disponible. Aucun redémarrage n'est requis pour les installations runtime uniquement.
Y a-t-il des problèmes connus avec KB5086096 ?+
Les problèmes connus incluent des temps de construction légèrement plus longs en raison de la validation de sécurité améliorée, des problèmes de compatibilité potentiels avec les implémentations personnalisées de JsonConverter, et la nécessité de reconstruire les images de conteneurs. Des solutions de contournement sont disponibles pour la plupart des problèmes de compatibilité.
Références (3)
1
Notes de version de la mise à jour de sécurité .NET 8.0.5Notes de version officielles pour la mise à jour de sécurité .NET 8.0.5 incluant des informations détaillées sur les vulnérabilitéshttps://github.com/dotnet/core/blob/main/release-notes/8.0/8.0.5/8.0.5.md
2Avis de sécurité .NETAvis de sécurité officiels et annonces pour .NET Framework et .NET Corehttps://github.com/dotnet/announcements/issues
3Télécharger .NET 8.0Page officielle de téléchargement pour les mises à jour du runtime et du SDK .NET 8.0https://dotnet.microsoft.com/download/dotnet/8.0
Discussion
Partagez vos réflexions et analyses
Connectez-vous pour participer
Plus d'articles
Articles KB associés
Security Update
.NET Framework
KB5082403 — Rollup de sécurité et de qualité pour .NET Framework 4.8 sur Windows Server 2012
KB5082403 est une mise à jour cumulative de sécurité et de qualité pour .NET Framework 4.8 sur les systèmes Windows Server 2012 et Windows Server 2012 R2, traitant de multiples vulnérabilités de sécurité et améliorations de qualité publiées en avril 2026.
16 avril7 min
Security Update
.NET Framework
KB5086097 — Mise à jour de sécurité pour le Framework .NET 9.0
KB5086097 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans le Framework .NET 9.0, y compris CVE-2026-0234 et CVE-2026-0235, affectant les installations multiplateformes sur les systèmes Windows, Linux et macOS.
16 avril12 min
Security Update
.NET Framework
KB5086095 — Mise à jour de sécurité pour .NET Framework 10.0
KB5086095 est une mise à jour de sécurité qui corrige plusieurs vulnérabilités dans .NET Framework 10.0, y compris CVE-2026-0847 et CVE-2026-0848, affectant les applications fonctionnant sur les plateformes Windows, macOS et Linux.
16 avril12 min