Vulnerabilidade no ASP.NET Core permite escalonamento de privilégios

A Microsoft lançou atualizações fora do ciclo regular para corrigir uma vulnerabilidade crítica no ASP.NET Core, identificada como CVE-2026-40372, que permite a um atacante escalar privilégios. Com uma pontuação CVSS de 9.1, a falha foi descoberta por um pesquisador anônimo e é classificada como importante. A vulnerabilidade resulta de uma verificação inadequada da assinatura criptográfica na biblioteca Microsoft.AspNetCore.DataProtection, que pode permitir que um invasor obtenha privilégios de sistema em aplicações que utilizam versões específicas da biblioteca em sistemas operacionais não-Windows, como Linux e macOS. A Microsoft esclareceu que a exploração bem-sucedida depende de três condições: o uso da versão 10.0.6 da biblioteca, a carga correta da biblioteca em tempo de execução e a execução em um sistema operacional compatível. A atualização para a versão 10.0.7 corrige a falha, mas tokens legítimos emitidos durante a janela de vulnerabilidade permanecem válidos, a menos que a chave de proteção de dados seja rotacionada. A empresa recomenda que os administradores atualizem suas aplicações imediatamente para mitigar riscos de exploração.

Fonte: https://thehackernews.com/2026/04/microsoft-patches-critical-aspnet-core.html

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).