Publicado el

Microsoft – Vulnerabilidad Crítica en ASP.NET Core

Se ha identificado una vulnerabilidad crítica en ASP.NET Core, asociada al componente de protección de datos (Microsoft.AspNetCore.DataProtection) dentro del ecosistema .NET.

Microsoft ha publicado una actualización de seguridad fuera de ciclo (OOB) para mitigar este fallo, que afecta principalmente a versiones recientes del framework, incluyendo .NET 10.

La vulnerabilidad, catalogada como CVE-2026-40372, presenta un nivel crítico (CVSS 9.1) y permite a atacantes no autenticados comprometer la seguridad de las aplicaciones afectadas.

Análisis
La vulnerabilidad reside en un fallo en la validación criptográfica dentro de las APIs de protección de datos de ASP.NET Core.
Concretamente:
      • Existe una verificación incorrecta de firmas criptográficas (HMAC).
      • Esto permite a un atacante forjar cookies de autenticación o tokens.
      • Como consecuencia, se puede lograr una elevación de privilegios hasta nivel SYSTEM.
Además:
      • El fallo fue introducido en versiones recientes (10.0.0 a 10.0.6).
      • Se trata de una vulnerabilidad no autenticada y explotable remotamente, lo que incrementa significativamente el riesgo.
      • Afecta especialmente a entornos Linux y macOS, aunque también puede impactar configuraciones específicas en Windows.
El impacto potencial incluye:
      • Compromiso total de aplicaciones web
      • Acceso a datos sensibles
      • Suplantación de usuarios
      • Escalada de privilegios en el sistema

Recursos Afectados

Aplicaciones web que utilicen ASP.NET Core

Sistemas que empleen:

      • Gestión de cookies de autenticación
      • Tokens antifalsificación (anti-CSRF)

Versiones afectadas:

      • NET 10.0.0 a 10.0.6

Entornos:

      • Servidores web en producción (especialmente expuestos a Internet)
      • Infraestructuras en Linux/macOS
      • Aplicaciones cloud basadas en .NET

Recomendaciones

      • Actualizar a ASP.NET Core 10.0.7 o superior
      • Aplicar el parche fuera de ciclo publicado por Microsoft
      • Revisar dependencias NuGet relacionadas con DataProtection
      • Validar integridad de autenticación y cookies tras actualización

Referencias

      • https://dotnet.microsoft.com/en-us/download/dotnet/10.0
      • https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/
      • https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html
Publicado el

Actualización Crítica de Parches de Oracle

Oracle Corporation ha publicado su actualización trimestral de seguridad (Critical Patch Update – CPU) correspondiente a abril de 2026, abordando un volumen significativo de vulnerabilidades en su ecosistema de productos empresariales.

La actualización incluye 481 parches de seguridad que corrigen aproximadamente 450 vulnerabilidades (CVEs) en 28 familias de productos, consolidándose como una de las actualizaciones más amplias recientes.

Análisis
 El análisis del boletín revela varios aspectos críticos:
    • Alta superficie de ataque remota:

Más de 300 vulnerabilidades pueden explotarse remotamente sin autenticación, lo que incrementa significativamente el riesgo de compromiso inicial.

    • Presencia de vulnerabilidades críticas:
      • Aproximadamente tres decenas de fallos son de severidad crítica, potencialmente explotables para ejecución remota de código (RCE) o toma de control.
    • Vectores de ataque predominantes:
      • Explotación remota sin credenciales
      • Fallos en componentes web/servicios
      • Vulnerabilidades en software empresarial expuesto

Recursos Afectados

Estos sistemas suelen estar presentes en infraestructuras críticas, banca, telecomunicaciones y entornos corporativos, lo que eleva el impacto potencial.

Recomendaciones

    • Aplicar los parches del CPU de abril 2026 de forma urgente, especialmente en sistemas expuestos a Internet.
    • Priorizar activos con:
      • Acceso remoto
      • Servicios web/API
      • Datos sensibles

Referencias

    •  https://www.securityweek.com/oracle-patches-450-vulnerabilities-with-april-2026-cpu/
Publicado el

Actualizaciones de seguridad de Microsoft: vulnerabilidades críticas y zero-day

Microsoft ha publicado sus actualizaciones de seguridad correspondientes a abril de 2026, corrigiendo un total de 167 vulnerabilidades en distintos productos.
Entre ellas se incluyen 8 vulnerabilidades críticas, principalmente de ejecución remota de código (RCE), así como dos vulnerabilidades zero-day, una de ellas explotada activamente.
Este conjunto de actualizaciones representa uno de los Patch Tuesday más relevantes del año, debido al volumen de fallos corregidos y a la criticidad de algunos de ellos.
Análisis
Entre las vulnerabilidades más destacadas se encuentran dos zero-day:
    • CVE-2026-32201 – SharePoint Server (Spoofing)
      • Vulnerabilidad explotada activamente.
      • Permite a un atacante ver o modificar información sensible mediante una validación de entrada incorrecta.
      • Microsoft no ha publicado detalles técnicos sobre los ataques.
    • CVE-2026-33825 – Microsoft Defender (Elevación de privilegios)
      • Vulnerabilidad divulgada públicamente.
      • Permite obtener privilegios SYSTEM.
      • Corregida mediante actualización automática del motor de Defender (versión 4.18.26050.3011).
En total, Microsoft ha corregido:
    • 93 vulnerabilidades de elevación de privilegios
    • 20 de ejecución remota de código (RCE)
    • 21 de divulgación de información
    • 13 de bypass de funciones de seguridad
    • 10 de denegación de servicio (DoS)
    • 9 de suplantación (spoofing)
Microsoft Office: foco de riesgo
Se han corregido múltiples vulnerabilidades críticas en Microsoft Word y Microsoft Excel, algunas de ellas explotables incluso mediante la vista previa de documentos, lo que incrementa significativamente el riesgo en entornos donde se manejan archivos adjuntos.
Otros componentes afectados
Las vulnerabilidades también afectan a componentes clave del ecosistema Microsoft, incluyendo:
    • Windows Kernel
    • Active Directory
    • Hyper-V
    • SQL Server
    • PowerShell
    • Remote Desktop
    • BitLocker
    • Secure Boot
    • WSUS
Varias de estas vulnerabilidades podrían permitir ejecución remota de código en servicios críticos de Windows.
Recursos afectados
Infraestructuras que utilicen productos Microsoft, especialmente:
    • Microsoft SharePoint Server
    • Sistemas Windows empresariales
    • Microsoft Office (Word, Excel)
    • Microsoft Defender
    • Infraestructura basada en Active Directory y servicios asociados
Recomendaciones
    • Aplicar las actualizaciones de seguridad de Microsoft con la mayor brevedad posible.
    • Priorizar la actualización de servidores SharePoint, debido a la explotación activa de vulnerabilidades.
    • Verificar que Microsoft Defender esté actualizado a la versión indicada.
    • Priorizar actualizaciones en Microsoft Office, especialmente en entornos donde se gestionan correos y adjuntos.
    • Revisar sistemas críticos Windows y servicios expuestos a red.
    • Monitorizar posibles indicadores de compromiso en sistemas no actualizados.
    • Mantener un inventario actualizado de activos y versiones desplegadas.
Publicado el

Vulnerabilidades críticas y de alta severidad parcheadas en Adobe

Adobe ha publicado recientemente su actualización de seguridad correspondiente a abril de 2026, corrigiendo un total de 55 vulnerabilidades distribuidas en 11 de sus productos principales.
Aunque la mayoría de las vulnerabilidades están clasificadas con una prioridad moderada, se han identificado varios fallos críticos, especialmente en Adobe ColdFusion, que representan un riesgo elevado para entornos empresariales.
Este tipo de vulnerabilidades supone una amenaza relevante, especialmente en sistemas que gestionan contenido, documentos o servicios web, donde una explotación exitosa podría comprometer la seguridad del sistema.
Análisis
La mayor preocupación en esta actualización se centra en Adobe ColdFusion, donde se han corregido:
    • 5 vulnerabilidades críticas (Prioridad 1)
      Estas vulnerabilidades podrían permitir:
    • Bypass de mecanismos de seguridad
    • Lectura de archivos del sistema
    • Ejecución remota de código (RCE)
Adobe ha asignado la máxima prioridad a estos fallos debido a que ColdFusion ha sido históricamente un objetivo frecuente de ataques.
Adicionalmente, se han corregido vulnerabilidades críticas de ejecución de código en otros productos:
    • Adobe Acrobat Reader
    • Adobe InDesign, InCopy, FrameMaker
    • Adobe Connect, Bridge, Photoshop, Illustrator
También se han corregido vulnerabilidades de gravedad importante que podrían permitir:
    • Denegación de servicio (DoS)
    • Escalada de privilegios
    • Ejecución de código
Estas afectan a productos como:
    • Adobe Experience Manager Screens
    • DNG SDK
Adobe indica que actualmente no tiene constancia de explotación activa de estas vulnerabilidades. No obstante, el contexto reciente muestra un riesgo relevante, ya que:
    • Se corrigió recientemente un zero-day en Acrobat/Reader (CVE-2026-34621) que habría sido explotado durante meses.
    • Organismos como CISA han alertado sobre la explotación continuada de vulnerabilidades antiguas en Acrobat.
Recursos afectados
Infraestructuras que utilicen productos Adobe, especialmente:
    • Adobe ColdFusion
    • Adobe Acrobat Reader
    • Adobe InDesign, InCopy, FrameMaker
    • Adobe Connect
    • Adobe Bridge
    • Adobe Photoshop
    • Adobe Illustrator
    • Adobe Experience Manager Screens
    • DNG SDK
Recomendaciones
    • Aplicar las actualizaciones de seguridad publicadas por Adobe con la mayor brevedad posible.
    • Priorizar la actualización de Adobe ColdFusion, dada su criticidad.
    • Revisar sistemas expuestos a Internet o que gestionen contenido sensible.
    • Monitorizar los sistemas tras la actualización para detectar posibles anomalías.
    • Mantener actualizados todos los productos Adobe en uso dentro de la organización.
    • Tener en cuenta vulnerabilidades previas activamente explotadas al evaluar el riesgo.
Referencias