Microsoft ha publicado un parche de emergencia para su framework ASP.NET Core, con el fin de corregir una vulnerabilidad crítica que permite a atacantes no autenticados obtener privilegios de SYSTEM en dispositivos que ejecutan aplicaciones en Linux o macOS. La vulnerabilidad, identificada como CVE-2026-40372, afecta a las versiones 10.0.0 a 10.0.6 del paquete Microsoft.AspNetCore.DataProtection NuGet. Este fallo se origina en una verificación defectuosa de las firmas criptográficas, lo que permite a los atacantes falsificar cargas de autenticación durante el proceso de validación HMAC. Aunque se ha lanzado el parche, los dispositivos pueden seguir siendo vulnerables si no se eliminan las credenciales de autenticación creadas por actores maliciosos.
Puntos clave:
- Microsoft ha lanzado un parche para una vulnerabilidad crítica en ASP.NET Core.
- La vulnerabilidad permite a atacantes no autenticados obtener privilegios de SYSTEM.
- Afecta a las versiones 10.0.0 a 10.0.6 del paquete Microsoft.AspNetCore.DataProtection NuGet.
- El fallo se debe a una verificación defectuosa de firmas criptográficas.
- Los dispositivos pueden seguir siendo vulnerables si no se eliminan las credenciales comprometidas.
Categoría
Tecnología (Ciberseguridad)
Fuente
Análisis, redacción, categorización y etiquetado asistido por IA.