Microsoft .NET 9/10 曝出高危 DoS 漏洞 CVE-2026-26127，恶意 Base64Url 输入可致服务瘫痪

微软 .NET 9.0 与 .NET 10.0 框架的核心组件中发现一个高危拒绝服务（DoS）漏洞。该漏洞源于 `Microsoft.Bcl.Memory` 库在处理畸形 Base64Url 输入时存在数组索引验证缺陷，导致越界读取。攻击者无需任何权限或用户交互，即可通过网络发送特制数据包，远程触发漏洞，导致目标应用程序资源耗尽、服务中断或崩溃。根据 CVSS 3.1 评分标准，该漏洞被评为 7.5 分（高危），影响评分为“高”，可利用性评分为“未定义”，修复复杂度为“官方修复”。

该漏洞被追踪为 CVE-2026-26127，其根本弱点被归类为 CWE-129（数组索引验证不当）和 CWE-125（越界读取）。漏洞影响所有平台和架构上运行的 .NET 9 与 .NET 10 应用程序。微软已通过 GitHub 公告页面发布安全通告，提供了详细的缓解与更新指南，敦促所有使用受影响版本 .NET 的开发者立即评估其应用程序并应用补丁。

鉴于 .NET 框架在构建 Web 服务、云应用和企业后端系统中的广泛使用，此漏洞构成了广泛的潜在攻击面。虽然目前尚无公开证据表明该漏洞已被主动利用，但其“网络攻击向量、无需权限、无需用户交互”的特性，使其成为自动化攻击工具的理想目标。开发团队和安全运营中心需优先处理此通告，更新依赖项并监控异常流量模式，以防止潜在的、大规模的服务中断事件。