Microsoft ha lanzado un parche de emergencia para su framework ASP.NET Core, abordando una vulnerabilidad de alta severidad que permite a atacantes no autenticados obtener privilegios de SYSTEM en dispositivos que ejecutan aplicaciones en Linux o macOS. Esta vulnerabilidad, identificada como CVE-2026-40372, afecta a las versiones 10.0.0 a 10.0.6 del paquete Microsoft.AspNetCore.DataProtection NuGet.
La falla se origina en una verificación defectuosa de las firmas criptográficas, lo que permite a los atacantes forjar cargas de autenticación durante el proceso de validación HMAC. Esto podría resultar en una completa compromisión de la máquina subyacente. Microsoft advirtió que incluso después de aplicar el parche, los dispositivos pueden seguir comprometidos si no se eliminan las credenciales de autenticación creadas por un atacante.
La empresa destacó que si un atacante utilizó cargas forjadas para autenticarse como un usuario privilegiado durante el tiempo que la versión vulnerable estuvo en uso, podría haber inducido a la aplicación a emitir tokens válidos (como enlaces de restablecimiento de contraseña) que seguirían siendo válidos tras la actualización a la versión 10.0.7, a menos que se rote el anillo de claves de DataProtection.
El paquete ASP.NET Core es un framework de desarrollo web de alto rendimiento que permite la creación de aplicaciones .NET en diversas plataformas, incluyendo Windows, macOS y Linux. La calificación máxima de severidad para esta vulnerabilidad es de 9.1 sobre 10, lo que subraya la urgencia de la actualización.
Microsoft aconseja a los usuarios afectados que actualicen el paquete Microsoft.AspNetCore.DataProtection a la versión 10.0.7 lo antes posible y que roten el anillo de claves de DataProtection si sus aplicaciones expusieron endpoints a Internet durante el uso de la versión vulnerable. También se recomienda auditar los artefactos de nivel de aplicación que pueden haberse creado durante ese tiempo.
Comentarios