A Microsoft lançou um patch de emergência para seu ASP.NET Core para corrigir uma vulnerabilidade de alta gravidade que permite que invasores não autenticados obtenham privilégios de SYSTEM em dispositivos que usam a estrutura de desenvolvimento da Web para executar aplicativos Linux ou macOS.
O fabricante de software disse Terça-feira à noite que a vulnerabilidade, rastreada como CVE-2026-40372, afeta as versões 10.0.0 a 10.0.6 do Microsoft.AspNetCore.DataProtection NuGet, um pacote que faz parte da estrutura. A falha crítica decorre de uma verificação incorreta das assinaturas criptográficas. Ele pode ser explorado para permitir que invasores não autenticados falsifiquem cargas úteis de autenticação durante o Validação HMAC processo, que é usado para verificar a integridade e autenticidade dos dados trocados entre um cliente e um servidor.
Cuidado: credenciais forjadas sobrevivem ao patch
Durante o tempo em que os usuários executaram uma versão vulnerável do pacote, eles ficaram expostos a um ataque que permitiria que pessoas não autenticadas obtivessem privilégios confidenciais de SISTEMA que permitiriam o comprometimento total da máquina subjacente. Mesmo depois que a vulnerabilidade for corrigida, os dispositivos ainda poderão ser comprometidos se as credenciais de autenticação criadas por um agente de ameaça não forem eliminadas.
Leia o artigo completo
Comentários
Leave a comment