A Microsoft divulgou uma atualização emergencial para corrigir uma vulnerabilidade crítica em seu framework de desenvolvimento web ASP.NET Core, identificada como CVE-2026-40372, que afeta sistemas que rodam Linux e macOS.
A falha está relacionada ao pacote Microsoft.AspNetCore.DataProtection e envolve uma verificação incorreta de assinaturas criptográficas, permitindo a falsificação de cargas de autenticação durante o processo de validação de HMAC. Em termos práticos, atacantes podem forjar dados autenticados e obter privilégios elevados, chegando ao nível SYSTEM, sem necessidade de autenticação prévia.
A gravidade da vulnerabilidade foi avaliada com 9,1 em 10. A Microsoft recomenda atualizar para a versão 10.0.7 do pacote o quanto antes. Entretanto, mesmo com o patch, sistemas podem permanecer comprometidos se credenciais válidas tiverem sido geradas durante o período de exposição — como sessões de usuário, chaves de API ou links de redefinição de senha — e não houver rotação das chaves criptográficas.
Além da atualização, a empresa orienta que administradores realizem a rotação das chaves do DataProtection e revisem artefatos persistentes gerados durante a vulnerabilidade, pois esses artefatos podem continuar válidos após a atualização.
O problema é mais relevante para aplicações não-Windows, especialmente aquelas que utilizam a versão 10.0.6 em tempo de execução ou que dependem indiretamente do pacote vulnerável em configurações do .NET 10. Aplicações em Windows não são afetadas, pois utilizam mecanismos de criptografia diferentes por padrão.
O ASP.NET Core é um framework de código aberto amplamente utilizado para aplicações web multiplataforma. A divulgação reforça a importância de monitoramento contínuo e da rápida aplicação de atualizações em ambientes expostos à Internet.
