Microsoft corrige vulnerabilidade crítica no ASP.NET Core para macOS e Linux

A Microsoft lançou a versão 10.0.7 do pacote NuGet Microsoft.AspNetCore.DataProtection na terça-feira para corrigir a CVE-2026-40372, que possui uma pontuação de severidade de 9,1 em 10. O problema afeta as versões 10.0.0 a 10.0.6 e decorre de um bug de regressão na atualização da semana passada para a versão 10.0.6. Esse bug causou uma verificação de assinatura criptográfica incorreta durante a validação HMAC, permitindo que invasores falsificassem credenciais e elevassem privilégios em sistemas não Windows que executam aplicativos ASP.NET Core. O ASP.NET Core é um framework de alto desempenho para aplicativos .NET em plataformas como macOS, Linux e Docker. A vulnerabilidade deixa os dispositivos expostos a comprometimento total se explorada durante o período vulnerável. Mesmo após a aplicação do patch, tokens legitimamente assinados emitidos para invasores — como renovações de sessão, chaves de API ou links de redefinição de senha — permanecem válidos, a menos que o conjunto de chaves DataProtection seja rotacionado, alertou a Microsoft. Os usuários afetados incluem aqueles em macOS ou Linux cujos aplicativos carregam a versão 10.0.6 em tempo de execução, particularmente se não tiverem como alvo o Microsoft.NET.Sdk.Web ou possuírem certas referências de framework sem a exclusão do PrunePackageReference. Aplicativos Windows não são afetados devido ao uso de criptografadores padrão diferentes. A Microsoft solicita a atualização imediata para a versão 10.0.7, a rotação de chaves para endpoints expostos à internet e a auditoria de artefatos de aplicativos criados durante a exposição à vulnerabilidade.