Posted on by Seguridad CSIRT-CV

Microsoft – Vulnerabilidad Crítica en ASP.NET Core

S’ha identificat una vulnerabilitat crítica en ASP.NET Core, associada al component de protecció de dades (Microsoft.AspNetCore.DataProtection), dins de l’ecosistema.NET.

Microsoft ha publicat una actualització de seguretat fora de cicle (OOB) per a mitigar esta fallada, que afecta principalment versions recents del marc de treball (framework), incloent-hi .NET 10.

La vulnerabilitat, catalogada com a CVE-2026-40372, presenta un nivell crític (CVSS 9.1) i permet a atacants no autenticats comprometre la seguretat de les aplicacions afectades.

Concretament:
      • Existix una verificació incorrecta de firmes criptogràfiques (HMAC).
      • Això permet a un atacant forjar galetes o testimonis d’autenticació.
      • Com a conseqüència, es pot aconseguir una elevació de privilegis fins a nivell SYSTEM.
A més:
    • La fallada va ser introduïda en versions recents (10.0.0 a 10.0.6).
    • Es tracta d’una vulnerabilitat no autenticada i explotable remotament, la qual cosa incrementa significativament el risc.
    • Afecta especialment a entorns Linux i macOS, encara que també pot impactar configuracions específiques en Windows.
L’impacte potencial inclou:
      • Compromís total d’aplicacions web
      • Accés a dades sensibles
      • Suplantació d’usuaris
      • Escalada de privilegis en el sistema

Recursos afectats

Aplicacions web que utilitzen ASP.NET Core

Sistemes que empren:

        • Microsoft.AspNetCore.DataProtection
        • Gestió de galetes d’autenticació
        • Testimonis antifalsificació (anti-CSRF)

Versions afectades:

      • NET 10.0.0 a 10.0.6

Entorns:

      • Servidors web en producció (especialment exposats a Internet)
      • Infraestructures en Linux/macOS
      • Aplicacions en el núvol basades en .NET

Recomanacions

      • Actualitzar a ASP.NET Core 10.0.7 o superior
      • Actualitzar a ASP.NET Core 10.0.7 o superior
      • Revisar dependències NuGet relacionades amb DataProtection
      • Validar integritat d’autenticació i galetes després d’actualització

Referències

      • https://dotnet.microsoft.com/en-us/download/dotnet/10.0
      • https://www.bleepingcomputer.com/news/microsoft/microsoft-releases-emergency-security-updates-for-critical-aspnet-flaw/
      • https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html