Vulnerabilidad en Microsoft Identity Web (CVE-2025-32016)

Microsoft Identity Web es una librería que contiene un conjunto de clases reutilizables que se utilizan junto con ASP.NET Core para la integración con la plataforma de identidad de Microsoft (anteriormente, endpoint de Azure AD v2.0) y AAD B2C. Esta vulnerabilidad afecta a aplicaciones cliente confidenciales, como daemons, aplicaciones web y API web. En circunstancias específicas, información confidencial, como secretos de cliente o detalles de certificados, puede quedar expuesta en los registros de servicio de estas aplicaciones. Los registros de servicio están diseñados para gestionarse de forma segura. Los registros de servicio generados a nivel de información o descripciones de credenciales contienen rutas de archivos locales con contraseñas, valores codificados en Base64 o secretos de cliente. Además, los registros de servicios que utilizan certificados codificados en Base64 o rutas de certificados con descripciones de credenciales de contraseña también se ven afectados si los certificados no son válidos o han caducado, independientemente del nivel de registro. Tenga en cuenta que estas credenciales no se pueden utilizar debido a su estado no válido o caducado. Para mitigar esta vulnerabilidad, actualice a Microsoft.Identity.Web 3.8.2 o Microsoft.Identity.Abstractions 9.0.0.