Microsoft

Patch di sicurezza .NET maggio 2026: quattro CVE corretti su .NET 8, 9, 10 e .NET Framework

Dario Fadda Maggio 31, 2026

Il 12 maggio 2026, in occasione del Patch Tuesday mensile, Microsoft ha rilasciato gli aggiornamenti di manutenzione per .NET 10.0, .NET 9.0, .NET 8.0 e .NET Framework. Questa tornata di aggiornamenti corregge quattro vulnerabilità di sicurezza, alcune delle quali classificate come Elevation of Privilege e Denial of Service. Ecco tutto quello che un sistemista o sviluppatore .NET deve sapere per aggiornare correttamente i propri ambienti.

Le vulnerabilità corrette

Quattro CVE sono stati indirizzati in questo ciclo di aggiornamento:

CVE-2026-32177 — Elevation of Privilege

Vulnerabilità di tipo Elevation of Privilege che impatta tutte le versioni attivamente supportate di .NET (10.0, 9.0, 8.0) e anche .NET Framework nelle versioni 3.5, 4.6.2, 4.7, 4.7.2, 4.8 e 4.8.1. Questa ampia superficie di impatto la rende la CVE più critica del lotto: praticamente ogni ambiente Windows con applicazioni .NET è potenzialmente esposto.

CVE-2026-35433 — Elevation of Privilege

Un secondo vettore di Elevation of Privilege, questa volta limitato alle versioni moderne di .NET (10.0, 9.0, 8.0). Non impatta .NET Framework. Chi esegue solo applicazioni .NET Framework può escludere questa CVE dal proprio piano di patch, ma è comunque consigliabile aggiornare l'intera stack.

CVE-2026-32175 — Tampering Vulnerability

Vulnerabilità di tipo Tampering su .NET 10.0, 9.0 e 8.0. Questo tipo di vulnerabilità permette a un attaccante di modificare dati o logica applicativa in modo non autorizzato. Come per la CVE precedente, non colpisce .NET Framework.

CVE-2026-42899 — Denial of Service

Una vulnerabilità Denial of Service che interessa .NET 10.0, 9.0 e 8.0. In ambienti esposti a input non fidato — API web pubbliche, servizi di ingestione dati, applicazioni multi-tenant — questo tipo di CVE va trattato con priorità alta anche se non consente esecuzione di codice arbitrario.

Versioni rilasciate

Ecco le versioni aggiornate disponibili su NuGet e nei repository ufficiali:

Canale Versione Release Notes
.NET 10.0 10.0.8 10.0.8 notes
.NET 9.0 9.0.16 9.0.16 notes
.NET 8.0 8.0.27 8.0.27 notes

Come aggiornare

Windows — Windows Update

Su sistemi Windows con .NET installato tramite il runtime di sistema, gli aggiornamenti arrivano via Windows Update. Verificare che gli aggiornamenti di maggio 2026 siano installati.

Aggiornamento manuale del runtime .NET

# Verifica la versione attuale
dotnet --version

# Su Linux (Ubuntu/Debian) tramite apt
sudo apt update
sudo apt upgrade dotnet-sdk-10.0 dotnet-runtime-10.0

# Verifica post-aggiornamento
dotnet --list-runtimes

Container Docker

Le immagini container su Microsoft Container Registry (MCR) sono già state aggiornate. Chi usa immagini .NET in produzione deve eseguire il rebuild degli stack:

# Assicurarsi di usare i tag aggiornati
FROM mcr.microsoft.com/dotnet/aspnet:10.0
# oppure
FROM mcr.microsoft.com/dotnet/aspnet:8.0
# Forzare il pull dell'immagine aggiornata
docker pull mcr.microsoft.com/dotnet/aspnet:10.0
docker pull mcr.microsoft.com/dotnet/aspnet:8.0

.NET Framework su Windows Server

Per .NET Framework (3.5, 4.x), l'aggiornamento CVE-2026-32177 passa attraverso Windows Update e il catalogo Microsoft Update. Su Windows Server, verificare che le KB di maggio 2026 siano installate:

# Verifica aggiornamenti installati con PowerShell
Get-HotFix | Where-Object { $_.InstalledOn -gt (Get-Date).AddDays(-30) } | Sort-Object InstalledOn -Descending

# Oppure usa Windows Update PowerShell module
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -AcceptAll -Install

Pipeline CI/CD e ambienti DevOps

Chi gestisce pipeline CI/CD basate su agenti self-hosted deve prestare attenzione: gli agenti di build spesso eseguono versioni pinned del .NET SDK. Aggiornare:

  1. Le immagini Docker degli agenti di build
  2. I file global.json nei repository, se si usa rollForward: disable
  3. Le variabili d'ambiente che referenziano versioni specifiche del runtime
// global.json — aggiornare la versione SDK
{
  "sdk": {
    "version": "10.0.300",
    "rollForward": "latestPatch"
  }
}

Utilizzare latestPatch come policy di rollForward garantisce che patch di sicurezza vengano prese automaticamente senza aggiornare manualmente il file ad ogni rilascio.

Nota sull'SDK 10.0.300

Contestualmente agli aggiornamenti di sicurezza, Microsoft ha rilasciato anche l'SDK 10.0.300, che include le ultime ottimizzazioni del runtime .NET 10 e le correzioni di sicurezza. Per i team che usano dotnet publish in pipeline automatizzate, è consigliabile aggiornare anche l'SDK oltre al solo runtime.

Conclusione

La presenza di CVE-2026-32177 — che copre anche .NET Framework — rende questo ciclo di aggiornamento prioritario per praticamente tutti gli ambienti Windows enterprise. Si raccomanda di pianificare l'aggiornamento entro i propri SLA di patch (tipicamente 30 giorni per vulnerabilità di livello Important, 7 giorni per Critical). Controllare il Microsoft Security Response Center per il dettaglio dei severity rating ufficiali.

Fonte: .NET Blog — May 2026 servicing releases

💬 Unisciti alla discussione!


Questo è un blog del Fediverso: puoi trovare quindi questo articolo ovunque con @blog@spcnet.it e ogni commento/risposta apparirà qui sotto.

Se vuoi commentare su Patch di sicurezza .NET maggio 2026: quattro CVE corretti su .NET 8, 9, 10 e .NET Framework, utilizza la discussione sul Forum.
Condividi la tua esperienza, confrontati con altri professionisti e approfondisci i dettagli tecnici nel nostro 👉 forum community