Scusa la banalità, ma se metti in sessione l'array delle estensioni consentite e poi controlli che il file ne abbia una che ci rientri, prima del salvataggio ?

codice:
ASPX
        <asp:FileUpload ID="UpFile" runat="server" />

Code-Behind:
        ' Controllo
        Dim nomefile As String = UpFile.PostedFile.FileName
        Dim estensione As String = Right(nomefile, 3)

        ' Qui controlli con un ciclo da "0 ad UBound(estensioni_consentite) -1" 
        ' che la variabile "estensione" sia nell'array di quelle consentite
        
        ' Se rientra, salvi
        UpFile.PostedFile.SaveAs("C:\FilesApplicazioni\Filesalvato." & estensione)