Posted on

Microsoft – Vulnerabilidad Crítica en ASP.NET Core

S’ha identificat una vulnerabilitat crítica en ASP.NET Core, associada al component de protecció de dades (Microsoft.AspNetCore.DataProtection), dins de l’ecosistema.NET.

Microsoft ha publicat una actualització de seguretat fora de cicle (OOB) per a mitigar esta fallada, que afecta principalment versions recents del marc de treball (framework), incloent-hi .NET 10.

La vulnerabilitat, catalogada com a CVE-2026-40372, presenta un nivell crític (CVSS 9.1) i permet a atacants no autenticats comprometre la seguretat de les aplicacions afectades.

Concretament:
      • Existix una verificació incorrecta de firmes criptogràfiques (HMAC).
      • Això permet a un atacant forjar galetes o testimonis d’autenticació.
      • Com a conseqüència, es pot aconseguir una elevació de privilegis fins a nivell SYSTEM.
A més:
    • La fallada va ser introduïda en versions recents (10.0.0 a 10.0.6).
    • Es tracta d’una vulnerabilitat no autenticada i explotable remotament, la qual cosa incrementa significativament el risc.
    • Afecta especialment a entorns Linux i macOS, encara que també pot impactar configuracions específiques en Windows.
L’impacte potencial inclou:
      • Compromís total d’aplicacions web
      • Accés a dades sensibles
      • Suplantació d’usuaris
      • Escalada de privilegis en el sistema

Recursos afectats

Aplicacions web que utilitzen ASP.NET Core

Sistemes que empren:

        • Microsoft.AspNetCore.DataProtection
        • Gestió de galetes d’autenticació
        • Testimonis antifalsificació (anti-CSRF)

Versions afectades:

      • NET 10.0.0 a 10.0.6

Entorns:

      • Servidors web en producció (especialment exposats a Internet)
      • Infraestructures en Linux/macOS
      • Aplicacions en el núvol basades en .NET

Recomanacions

      • Actualitzar a ASP.NET Core 10.0.7 o superior
      • Actualitzar a ASP.NET Core 10.0.7 o superior
      • Revisar dependències NuGet relacionades amb DataProtection
      • Validar integritat d’autenticació i galetes després d’actualització

Referències

      • https://dotnet.microsoft.com/en-us/download/dotnet/10.0
      • https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/
      • https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html
Posted on

Actualización Crítica de Parches de Oracle

Oracle Corporation ha publicado su actualización trimestral de seguridad (Critical Patch Update – CPU) correspondiente a abril de 2026, abordando un volumen significativo de vulnerabilidades en su ecosistema de productos empresariales.

La actualización incluye 481 parches de seguridad que corrigen aproximadamente 450 vulnerabilidades (CVEs) en 28 familias de productos, consolidándose como una de las actualizaciones más amplias recientes.

Análisis
 El análisis del boletín revela varios aspectos críticos:
    • Alta superficie de ataque remota:

Más de 300 vulnerabilidades pueden explotarse remotamente sin autenticación, lo que incrementa significativamente el riesgo de compromiso inicial.

    • Presencia de vulnerabilidades críticas:
      • Aproximadamente tres decenas de fallos son de severidad crítica, potencialmente explotables para ejecución remota de código (RCE) o toma de control.
    • Vectores de ataque predominantes:
      • Explotación remota sin credenciales
      • Fallos en componentes web/servicios
      • Vulnerabilidades en software empresarial expuesto

Recursos Afectados

Estos sistemas suelen estar presentes en infraestructuras críticas, banca, telecomunicaciones y entornos corporativos, lo que eleva el impacto potencial.

Recomendaciones

    • Aplicar los parches del CPU de abril 2026 de forma urgente, especialmente en sistemas expuestos a Internet.
    • Priorizar activos con:
      • Acceso remoto
      • Servicios web/API
      • Datos sensibles

Referencias

    •  https://www.securityweek.com/oracle-patches-450-vulnerabilities-with-april-2026-cpu/
Posted on

Actualitzacions de seguretat de Microsoft: vulnerabilitats crítiques i de dia zero

Microsoft ha publicat les actualitzacions de seguretat corresponents a abril de 2026, i ha corregit un total de 167 vulnerabilitats en diferents productes.

Entre estes s’inclouen 8 vulnerabilitats crítiques, principalment d’execució remota de codi (RCE), així com dos vulnerabilitats de dia zero, una d’estes explotada activament.

Este conjunt d’actualitzacions representa un dels Patch Tuesday més rellevants de l’any, atés el volum de fallades corregides i la criticitat d’algunes d’estes.

Anàlisi

Entre les vulnerabilitats més destacades trobem dos de dia zero:

    • CVE-2026-32201 – SharePoint Server (suplantació)
      • Vulnerabilitat explotada activament.
      • Permet que un atacant veja o modifique informació delicada mitjançant una validació d’entrada incorrecta.
      • Microsoft no ha publicat detalls tècnics sobre els atacs.
    • CVE-2026-33825 – Microsoft Defender (elevació de privilegis)
      • Vulnerabilitat divulgada públicament.
      • Permet obtindre privilegis SYSTEM.
      • Corregida mitjançant una actualització automàtica del motor de Defender (versió 4.18.26050.3011).

En total, Microsoft ha corregit:

    • 93 vulnerabilitats d’elevació de privilegis
    • 20 d’execució remota de codi (RCE)
    • 21 de divulgació d’informació
    • 13 de bypass de funcions de seguretat
    • 10 de denegació de servici (DoS)
    • 9 de suplantació (spoofing)

Microsoft Office: focus de risc

S’han corregit múltiples vulnerabilitats crítiques en Microsoft Word i Microsoft Excel, algunes d’estes explotables fins i tot mitjançant la vista prèvia de documents, cosa que incrementa significativament el risc en entorns on es gestionen arxius adjunts.

Altres components afectats

Les vulnerabilitats també afecten components clau de l’ecosistema Microsoft, com ara els següents:

    • Windows Kernel
    • Active Directory
    • Hyper-V
    • SQL Server
    • PowerShell
    • Remote Desktop
    • BitLocker
    • Secure Boot
    • WSUS

Diverses d’estes vulnerabilitats podrien permetre una execució remota de codi en servicis crítics de Windows.

Recursos afectats

Infraestructures que utilitzen productes Microsoft, especialment:

    • Microsoft SharePoint Server
    • Sistemes Windows empresarials
    • Microsoft Office (Word, Excel)
    • Microsoft Defender
    • Infraestructura basada en Active Directory i servicis associats

Recomanacions

    • Aplicar les actualitzacions de seguretat de Microsoft com més prompte millor.
    • Prioritzar l’actualització de servidors SharePoint, a causa de l’explotació activa de vulnerabilitats.
    • Verificar que Microsoft Defender estiga actualitzat a la versió indicada.
    • Prioritzar actualitzacions en Microsoft Office, especialment en entorns on es gestionen correus i adjunts.
    • Revisar sistemes Windows crítics i servicis exposats a xarxa.
    • Monitorar possibles indicadors de compromís en sistemes no actualitzats.
    • Mantindre un inventari actualitzat d’actius i versions desplegades.
Posted on

Vulnerabilitats crítiques i d’alta severitat apedaçades en Adobe

Adobe ha publicat recentment la seua actualització de seguretat corresponent a abril de 2026, corregint un total de 55 vulnerabilitats distribuïdes en 11 dels seus productes principals.

Encara que la majoria de les vulnerabilitats estan classificades amb una prioritat moderada, s’han identificat diverses fallades crítiques, especialment en Adobe ColdFusion, que representen un risc elevat per a entorns empresarials.

Este tipus de vulnerabilitats suposa una amenaça rellevant, especialment en sistemes que gestionen contingut, documents o servicis web, on una explotació exitosa podria comprometre la seguretat del sistema.

Anàlisi

La major preocupació en esta actualització se centra en Adobe ColdFusion, on s’han corregit:

    • 5 vulnerabilitats crítiques (prioritat 1)
      Estes vulnerabilitats podrien permetre:
    • Bypass de mecanismes de seguretat
    • Lectura d’arxius del sistema
    • Execució remota de codi (RCE)

Adobe ha assignat la màxima prioritat a estes fallades pel fet que ColdFusion ha sigut històricament un objectiu freqüent d’atacs.

Addicionalment, s’han corregit vulnerabilitats crítiques d’execució de codi en altres productes:

    • Adobe Acrobat Reader
    • Adobe InDesign, InCopy, FrameMaker
    • Adobe Connect, Bridge, Photoshop, Illustrator

També s’han corregit vulnerabilitats de gravetat important que podrien permetre:

    • Denegació de servici (DoS)
    • Escalada de privilegis
    • Execució de codi

Estes afecten productes com:

    • Adobe Experience Manager Screens
    • DNG SDK

Adobe indica que actualment no té constància d’explotació activa d’estes vulnerabilitats. No obstant això, el context recent mostra un risc rellevant, ja que:

    • Es va corregir recentment un zero-day en Acrobat/Reader (CVE-2026-34621), que hauria sigut explotat durant mesos.
    • Organismes com CISA han alertat sobre l’explotació continuada de vulnerabilitats antigues en Acrobat.

Recursos afectats

Infraestructures que utilitzen productes Adobe, especialment:

    • Adobe ColdFusion
    • Adobe Acrobat Reader
    • Adobe InDesign, InCopy, FrameMaker
    • Adobe Connect
    • Adobe Bridge
    • Adobe Photoshop
    • Adobe Illustrator
    • Adobe Experience Manager Screens
    • DNG SDK

Recomanacions

    • Aplicar les actualitzacions de seguretat publicades per Adobe com més prompte millor.
    • Prioritzar l’actualització d’Adobe ColdFusion, atesa la seua criticitat.
    • Revisar sistemes exposats a Internet o que gestionen contingut sensible.
    • Monitorar els sistemes després de l’actualització per a detectar possibles anomalies.
    • Mantindre actualitzats tots els productes Adobe en ús dins de l’organització.
    • Tindre en compte vulnerabilitats prèvies activament explotades en avaluar el risc.

Referències

https://www.securityweek.com/adobe-patches-55-vulnerabilities-across-11-products/