Verificación incorrecta de firma criptográfica en ASP.NET de Microsoft
Paquetes NuGet Microsoft.AspNetCore.DataProtection, versiones desde la 10.0.0 hasta 10.0.6.
Para ver qué configuraciones están realmente afectadas se recomienda consultar los enlaces de las referencias.
Microsoft ha publicado una actualización fuera de ciclo (OOB, Out Of Band) para solucionar una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante obtener el control total de la máquina, al poder ejecutar instrucciones como SYSTEM.
Actualizar el producto a la versión 10.0.7 o posterior.
Después de instalar el parche cierre todas las aplicaciones basadas en .NET y reinicie el equipo.
CVE-2026-40372: verificación incorrecta de firma criptográfica en ASP.NET Core. Esta permite a un atacante no autorizado incrementar sus privilegios en la red, con lo que podría acceder a ficheros y modificar datos, pero no afectar a la disponibilidad del sistema.
El problema se produce porque al no realizar ASP.NET Core la verificación de forma correcta, un atacante puede generar cargas útiles falsificadas en las que se autentique como un usuario con grandes privilegios, por ejemplo, SYSTEM.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-40372 | Crítica | No | Microsoft |
