Microsoft Lança Patch Urgente para Vulnerabilidade Crítica no ASP.NET
A Microsoft lançou uma atualização fora do ciclo para corrigir uma vulnerabilidade crítica nos APIs de criptografia Data Protection do ASP.NET Core. A falha, que permite a invasores não autenticados obter privilégios SYSTEM, afeta aplicações que utilizam versões específicas do pacote Microsoft.AspNetCore.DataProtection.
MundiX News·10 de maio de 2026·2 min de leitura·👁 1 views
A Microsoft lançou uma atualização de segurança fora do ciclo para o ASP.NET Core, visando corrigir uma vulnerabilidade crítica nos APIs de criptografia Data Protection. A falha, identificada como CVE-2026-40372 e com uma pontuação CVSS de 9.1, permite que invasores não autenticados obtenham privilégios SYSTEM através da falsificação de cookies de autenticação. A correção surge após relatos de falhas de descriptografia em aplicações, especialmente após a instalação do .NET 10.0.6, lançado em abril como parte do "Patch Tuesday".
A regressão nos pacotes NuGet Microsoft.AspNetCore.DataProtection versões 10.0.0–10.0.6 causava a computação incorreta da tag HMAC (Hash-based Message Authentication Code) para validação, ou até mesmo a omissão do hash calculado. Isso permitia que um atacante falsificasse payloads que passavam pelas verificações de autenticação Data Protection, possibilitando a descriptografia de cookies de autenticação, tokens antiforgery, TempData, estado OIDC, entre outros. A exploração bem-sucedida poderia levar à obtenção de tokens assinados legitimamente, como atualizações de sessão, chaves de API ou links de redefinição de senha, que permanecem válidos mesmo após a atualização para a versão 10.0.7, a menos que a rotação de chaves Data Protection seja realizada.
A Microsoft enfatizou que a exploração bem-sucedida da vulnerabilidade requer três condições: o aplicativo utiliza o pacote Microsoft.AspNetCore.DataProtection versão 10.0.6 do NuGet (diretamente ou através de uma dependência como Microsoft.AspNetCore.DataProtection.StackExchangeRedis); a cópia NuGet da biblioteca é realmente carregada em tempo de execução; e o aplicativo está rodando em Linux, macOS ou outro sistema operacional diferente do Windows. A empresa recomenda que todos os usuários que utilizam o ASP.NET Core Data Protection atualizem o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 o mais rápido possível e reimplantem suas aplicações.
A Microsoft lançou uma atualização de segurança fora do ciclo para o ASP.NET Core, visando corrigir uma vulnerabilidade crítica nos APIs de criptografia Data Protection. A falha, identificada como CVE-2026-40372 e com uma pontuação CVSS de 9.1, permite que invasores não autenticados obtenham privilégios SYSTEM através da falsificação de cookies de autenticação. A correção surge após relatos de falhas de descriptografia em aplicações, especialmente após a instalação do .NET 10.0.6, lançado em abril como parte do "Patch Tuesday".
A regressão nos pacotes NuGet Microsoft.AspNetCore.DataProtection versões 10.0.0–10.0.6 causava a computação incorreta da tag HMAC (Hash-based Message Authentication Code) para validação, ou até mesmo a omissão do hash calculado. Isso permitia que um atacante falsificasse payloads que passavam pelas verificações de autenticação Data Protection, possibilitando a descriptografia de cookies de autenticação, tokens antiforgery, TempData, estado OIDC, entre outros. A exploração bem-sucedida poderia levar à obtenção de tokens assinados legitimamente, como atualizações de sessão, chaves de API ou links de redefinição de senha, que permanecem válidos mesmo após a atualização para a versão 10.0.7, a menos que a rotação de chaves Data Protection seja realizada.
A Microsoft enfatizou que a exploração bem-sucedida da vulnerabilidade requer três condições: o aplicativo utiliza o pacote Microsoft.AspNetCore.DataProtection versão 10.0.6 do NuGet (diretamente ou através de uma dependência como Microsoft.AspNetCore.DataProtection.StackExchangeRedis); a cópia NuGet da biblioteca é realmente carregada em tempo de execução; e o aplicativo está rodando em Linux, macOS ou outro sistema operacional diferente do Windows. A empresa recomenda que todos os usuários que utilizam o ASP.NET Core Data Protection atualizem o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 o mais rápido possível e reimplantem suas aplicações.
