Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Nuevas actualizaciones críticas para .NET y Windows Server


Microsoft lanzó actualizaciones de seguridad fuera de banda (OOB) para corregir una vulnerabilidad crítica (CVE-2026-40372) en ASP.NET Core Data Protection que permite a atacantes no autenticados obtener privilegios de SYSTEM mediante la falsificación de cookies de autenticación. Los usuarios deben actualizar a la versión 10.0.7 del paquete Microsoft.AspNetCore.DataProtection y rotar el llavero de DataProtection para mitigar riesgos.





Actualizaciones urgentes fuera de banda (OOB) para .NET y Windows Server

Microsoft ha lanzado actualizaciones de seguridad fuera de banda (OOB) para solucionar una vulnerabilidad crítica de escalamiento de privilegios en ASP.NET Core.

La vulnerabilidad, identificada como CVE-2026-40372, reside en las API criptográficas de ASP.NET Core Data Protection y podría permitir a atacantes no autenticados obtener privilegios de SYSTEM en los dispositivos afectados mediante la falsificación de cookies de autenticación.

Microsoft detectó el fallo tras recibir informes de usuarios que experimentaban problemas en el descifrado de sus aplicaciones después de instalar la actualización .NET 10.0.6 durante el Patch Tuesday de este mes.

"Una regresión en los paquetes NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 provoca que el cifrador autenticado administrado calcule su etiqueta de validación HMAC sobre bytes incorrectos de la carga útil y, en algunos casos, descarte el hash calculado", detalla Microsoft en las notas de la versión .NET 10.0.7.

Esta validación defectuosa podría permitir a un atacante falsificar cargas útiles que superen las comprobaciones de autenticidad de DataProtection, descifrando así datos protegidos en cookies de autenticación, tokens antifalsificación, estado OIDC y otros elementos.

Si un atacante lograra autenticarse como usuario privilegiado durante el período de vulnerabilidad, podría generar tokens firmados legítimamente (como actualizaciones de sesión o enlaces de restablecimiento de contraseña) que seguirían siendo válidos tras actualizar a la versión 10.0.7, a menos que se rote el llavero de DataProtection.

Según el aviso de seguridad de Microsoft, esta vulnerabilidad también permite a los atacantes divulgar archivos y modificar datos, aunque no afecta la disponibilidad del sistema.

Rahul Bhandari, director sénior de programas, instó a todos los clientes cuyas aplicaciones utilizan ASP.NET Core Data Protection a actualizar el paquete Microsoft.AspNetCore.DataProtection a la versión 10.0.7 lo antes posible y a realizar una nueva implementación para corregir la rutina de validación.

Más detalles sobre las plataformas, paquetes y configuraciones afectadas están disponibles en el anuncio oficial.

Además, Microsoft lanzó otro conjunto de actualizaciones extraordinarias para resolver problemas en sistemas Windows Server tras la instalación de las actualizaciones de seguridad de abril de 2026.

Fuente: BC





Fuentes:
http://blog.segu-info.com.ar/2026/04/actualizaciones-urgentes-fuera-de-banda.html

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.