Microsoft ha publicado actualizaciones fuera de ciclo para corregir una vulnerabilidad crítica en ASP.NET Core que podría permitir a un atacante elevar sus privilegios en sistemas afectados. Registrada como CVE-2026-40372 y calificada con un puntaje CVSS de 9.1/10.0, la falla ha sido considerada de gravedad importante y fue reportada por un investigador anónimo.
La raíz del problema está en la implementación del subsistema de protección de datos (Data Protection) de ASP.NET Core: una regresión en algunas versiones de los paquetes NuGet causaba que el mecanismo autenticado de cifrado gestionado calculase la etiqueta de validación HMAC sobre bytes incorrectos del payload y, en ciertos casos, desechara el hash calculado. Ese fallo en la verificación de la firma criptográfica abre la puerta a que entradas manipuladas parezcan auténticas y, en situaciones concretas, también permite descifrar datos que antes estaban protegidos. Entre los objetos afectados se incluyen cookies de autenticación, tokens antifalsificación y otros datos firmados o cifrados por la librería.
Microsoft ha liberado la corrección en la rama de ASP.NET Core 10.0.7. Según la compañía, un atacante que explote con éxito la vulnerabilidad podría obtener privilegios del sistema (SYSTEM en entornos Windows equivalentes en sistemas Unix-like), acceder a archivos y alterar información. No obstante, la explotación no es universal: requiere varios precondicionantes simultáneos para que sea viable.
Para que la vulnerabilidad pueda ser explotada es necesario que la aplicación utilice la versión afectada del paquete Microsoft.AspNetCore.DataProtection (las regresiones estuvieron presentes en las versiones 10.0.0 hasta 10.0.6), que la copia del paquete obtenida desde NuGet se cargue realmente en tiempo de ejecución por la aplicación y que el servicio se ejecute sobre un sistema distinto de Windows (por ejemplo, Linux o macOS). Si se cumplen esos requisitos, un atacante podría forjar payloads que pasen las comprobaciones de integridad del Data Protection o incluso descifrar contenido previamente protegido. Además, si durante la ventana vulnerable un atacante lograse autenticarse como un usuario con privilegios, la aplicación podría emitir tokens legítimamente firmados (actualizaciones de sesión, claves de API, enlaces de restablecimiento de contraseña, etc.) que seguirían siendo válidos después de aplicar la actualización a 10.0.7, a menos que se rote el anillo de claves de Data Protection.
La recomendación inmediata es aplicar la versión corregida lo antes posible: actualizar los proyectos y despliegues a Microsoft.AspNetCore.DataProtection 10.0.7 y a la versión de ASP.NET Core 10.0.7 correspondiente. Microsoft publicó los detalles técnicos y la mitigación en su aviso de seguridad y en las notas de la versión; es importante revisar ambas fuentes para comprender el alcance en cada entorno. Consulte el aviso de Microsoft aquí: MSRC – CVE-2026-40372 y las notas de la versión en el repositorio oficial: aspnetcore v10.0.7.
Además de parchear, hay otra medida crítica: rotar el anillo de claves (key ring) de Data Protection. Como las llaves usadas para firmar y cifrar datos son las que determinan la validez de tokens y cookies, una rotación forzada invalida material firmado previamente por claves comprometidas y evita que un atacante use tokens emitidos durante la ventana vulnerable. La documentación oficial explica cómo administrar y rotar las claves del Data Protection: Gestión de claves en Data Protection.
Para equipos de desarrollo y operaciones conviene verificar si sus aplicaciones realmente cargan la versión vulnerable del paquete en tiempo de ejecución. Una forma práctica es revisar las dependencias con las herramientas de .NET (por ejemplo, dotnet list package --include-transitive) y comprobar las versiones empaquetadas en los artefactos o contenedores que se despliegan. La página del paquete NuGet proporciona información sobre las versiones publicadas: Microsoft.AspNetCore.DataProtection en NuGet. También es recomendable inspeccionar imágenes de contenedor, builds publicados o binarios desplegados para confirmar qué librería se está cargando realmente.
Si administras entornos en Linux o macOS, prioriza las actualizaciones y gira las claves lo antes posible. Después de aplicar parches y rotar claves, revisa los registros de autenticación y busca actividad inusual que pueda indicar que alguien explotó el fallo antes del parcheo. Si detectas posibles accesos o emisión de tokens sospechosos durante la ventana vulnerable, procede como si se hubieran visto comprometidos los secretos afectados: revoca tokens, fuerza restablecimientos y audita accesos a datos sensibles.
En la práctica, esta incidencia recuerda dos ideas importantes: las regresiones en librerías críticas de seguridad pueden tener impacto transversal y, por tanto, es imprescindible mantener políticas de actualización, anclas de confianza y procesos de gestión de llaves adecuados. Para más contexto técnico sobre el funcionamiento de Data Protection y las mejores prácticas, la guía de Microsoft sobre el sistema de protección de datos en ASP.NET Core es un recurso excelente: ASP.NET Core Data Protection. Para comprobar el registro CVE y detalles de severidad, puede consultarse la entrada pública en NVD: NVD – CVE-2026-40372.
Si gestionas aplicaciones en producción, actúa ya: actualiza a 10.0.7, rota el anillo de claves si tu entorno estaba expuesto y revisa logs y tokens emitidos durante la ventana vulnerable. La combinación de parcheo y gestión de claves es la forma más efectiva de cerrar esta puerta antes de que cause más daño.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...