Microsoft corrige una vulnerabilidad crítica de ASP.NET Core en macOS y Linux

Microsoft lanzó el martes la versión 10.0.7 del paquete NuGet Microsoft.AspNetCore.DataProtection para corregir el CVE-2026-40372, que tiene una puntuación de gravedad de 9.1 sobre 10. El problema afecta a las versiones 10.0.0 a 10.0.6 y surge de un error de regresión en la actualización a 10.0.6 de la semana pasada. Este error provocó una verificación defectuosa de firmas criptográficas durante la validación HMAC, permitiendo a los atacantes falsificar credenciales y elevar privilegios en sistemas que no son Windows y que ejecutan aplicaciones de ASP.NET Core. ASP.NET Core es un framework de alto rendimiento para aplicaciones .NET en plataformas que incluyen macOS, Linux y Docker. La vulnerabilidad deja a los dispositivos expuestos a un compromiso total si se aprovecha durante el periodo de vulnerabilidad. Incluso después de aplicar el parche, los tokens legítimamente firmados emitidos a los atacantes —como actualizaciones de sesión, claves de API o enlaces de restablecimiento de contraseña— siguen siendo válidos a menos que se rote el anillo de claves de DataProtection, advirtió Microsoft. Los usuarios afectados incluyen aquellos en macOS o Linux cuyas aplicaciones cargan la versión 10.0.6 en tiempo de ejecución, particularmente si no tienen como destino Microsoft.NET.Sdk.Web o poseen ciertas referencias de framework sin excluir PrunePackageReference. Las aplicaciones de Windows no se ven afectadas debido a que utilizan cifradores predeterminados diferentes. Microsoft insta a actualizar a la versión 10.0.7 inmediatamente, rotar las claves de los puntos finales expuestos a internet y auditar los artefactos de las aplicaciones creados durante el periodo de exposición a la vulnerabilidad.