Vulnerabilidad en ASP.NET Core concede privilegios SYSTEM a cualquiera y permite controlar sitios sin contraseña
Microsoft lanza un parche urgente para corregir una vulnerabilidad crítica en ASP.NET Core
Un error inesperado en una actualización hizo que el mecanismo de protección abriese la puerta a los atacantes. Microsoft lanzó con urgencia correcciones fuera de calendario para cerrar una vulnerabilidad peligrosa en la plataforma ASP.NET Core.
El problema recibió el identificador CVE-2026-40372 (puntuación CVSS: 9.1). El fallo se ocultaba en las interfaces criptográficas de Protección de datos y permitía a atacantes no autorizados obtener privilegios a nivel SYSTEM. Para ello bastaba con falsificar cookies de autenticación y eludir la comprobación de identidad.
El fallo se detectó cuando los usuarios comenzaron a quejarse. Tras instalar la actualización .NET 10.0.6, las aplicaciones empezaron a descifrar los datos de forma incorrecta. La causa resultó ser una regresión en los paquetes Microsoft.AspNetCore.DataProtection en las versiones 10.0.0 a 10.0.6. El mecanismo de verificación de integridad calculaba la firma de control sobre datos erróneos y, en ocasiones, llegaba incluso a ignorar el resultado.
Debido a esto, la protección aceptaba datos falsificados como genuinos. Un atacante podía no solo leer datos que antes estaban protegidos —por ejemplo, cookies de autenticación, tokens de protección de formularios o parámetros de autorización—, sino también crear nuevos. Si el atacante lograba hacerse pasar por un usuario con privilegios, el sistema podía emitirle tokens válidos: claves de acceso, enlaces para cambiar la contraseña o para renovar la sesión. Esos tokens siguen siendo válidos incluso después de aplicar la corrección, salvo que se actualicen las claves de cifrado. La vulnerabilidad también permite leer archivos y modificar datos, pero no afecta a la disponibilidad del sistema.
En la compañía recomiendan actualizar cuanto antes el paquete Microsoft.AspNetCore.DataProtection a la versión 10.0.7 y volver a desplegar las aplicaciones. Tras esto, el sistema empezará a rechazar automáticamente los datos falsificados. Además, conviene renovar las claves de protección para invalidar los tokens que los atacantes ya hayan creado.