Publicado el por Seguridad CSIRT-CV

Microsoft – Vulnerabilidad Crítica en ASP.NET Core

Se ha identificado una vulnerabilidad crítica en ASP.NET Core, asociada al componente de protección de datos (Microsoft.AspNetCore.DataProtection) dentro del ecosistema .NET.

Microsoft ha publicado una actualización de seguridad fuera de ciclo (OOB) para mitigar este fallo, que afecta principalmente a versiones recientes del framework, incluyendo .NET 10.

La vulnerabilidad, catalogada como CVE-2026-40372, presenta un nivel crítico (CVSS 9.1) y permite a atacantes no autenticados comprometer la seguridad de las aplicaciones afectadas.

Análisis
La vulnerabilidad reside en un fallo en la validación criptográfica dentro de las APIs de protección de datos de ASP.NET Core.
Concretamente:
      • Existe una verificación incorrecta de firmas criptográficas (HMAC).
      • Esto permite a un atacante forjar cookies de autenticación o tokens.
      • Como consecuencia, se puede lograr una elevación de privilegios hasta nivel SYSTEM.
Además:
      • El fallo fue introducido en versiones recientes (10.0.0 a 10.0.6).
      • Se trata de una vulnerabilidad no autenticada y explotable remotamente, lo que incrementa significativamente el riesgo.
      • Afecta especialmente a entornos Linux y macOS, aunque también puede impactar configuraciones específicas en Windows.
El impacto potencial incluye:
      • Compromiso total de aplicaciones web
      • Acceso a datos sensibles
      • Suplantación de usuarios
      • Escalada de privilegios en el sistema

Recursos Afectados

Aplicaciones web que utilicen ASP.NET Core

Sistemas que empleen:

      • Gestión de cookies de autenticación
      • Tokens antifalsificación (anti-CSRF)

Versiones afectadas:

      • NET 10.0.0 a 10.0.6

Entornos:

      • Servidores web en producción (especialmente expuestos a Internet)
      • Infraestructuras en Linux/macOS
      • Aplicaciones cloud basadas en .NET

Recomendaciones

      • Actualizar a ASP.NET Core 10.0.7 o superior
      • Aplicar el parche fuera de ciclo publicado por Microsoft
      • Revisar dependencias NuGet relacionadas con DataProtection
      • Validar integridad de autenticación y cookies tras actualización

Referencias

      • https://dotnet.microsoft.com/en-us/download/dotnet/10.0
      • https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/
      • https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html