Verificación incorrecta de firma criptográfica en ASP.NET de Microsoft
Paquetes NuGet Microsoft.AspNetCore.DataProtection, versiones desde la 10.0.0 hasta 10.0.6.
Para ver qué configuraciones están realmente afectadas se recomienda consultar los enlaces de las referencias.
Microsoft ha publicado una actualización fuera de ciclo (OOB, Out Of Band) para solucionar una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante obtener el control total de la máquina, al poder ejecutar instrucciones como SYSTEM.
Actualizar el producto a la versión 10.0.7 o posterior.
Después de instalar el parche cierre todas las aplicaciones basadas en .NET y reinicie el equipo.
CVE-2026-40372: verificación incorrecta de firma criptográfica en ASP.NET Core. Esta permite a un atacante no autorizado incrementar sus privilegios en la red, con lo que podría acceder a ficheros y modificar datos, pero no afectar a la disponibilidad del sistema.
El problema se produce porque al no realizar ASP.NET Core la verificación de forma correcta, un atacante puede generar cargas útiles falsificadas en las que se autentique como un usuario con grandes privilegios, por ejemplo, SYSTEM.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-40372 | Crítica | No | Microsoft |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.