Seguir 
Microsoft ha lanzado actualizaciones fuera de banda para CVE-2026-40372, una vulnerabilidad de escalamiento de privilegios de alto impacto en ASP.NET Core relacionada con las APIs criptográficas de Protección de Datos de la plataforma. Los informes públicos indican que la falla tiene un puntaje CVSS de 9.1 y podría permitir a un atacante no autenticado falsificar material de autenticación y, en última instancia, obtener privilegios de SISTEMA en los sistemas afectados.
El problema destaca no solo por su gravedad, sino también porque fue lo suficientemente serio como para provocar un lanzamiento de emergencia fuera del ciclo normal de parches. BleepingComputer informa que Microsoft investigó después de que los clientes observaron fallos de descifrado tras la actualización .NET 10.0.6, mientras que The Hacker News señala que el error fue reportado por un investigador anónimo y corregido en ASP.NET Core 10.0.7.
Análisis de CVE-2026-40372
Según los detalles de Microsoft citados por ambas publicaciones, CVE-2026-40372 surge de una verificación incorrecta de una firma criptográfica en ASP.NET Core. Más específicamente, los paquetes NuGet afectados Microsoft.AspNetCore.DataProtection 10.0.0–10.0.6 podrían calcular la etiqueta de validación HMAC sobre los bytes incorrectos de la carga útil y luego descartar el hash calculado en algunos casos. Esto rompe el modelo de confianza detrás de los datos de la aplicación protegida y abre la puerta a cargas útiles falsificadas que pasan las verificaciones de autenticidad.
La superficie de ataque es más estrecha de lo que un titular genérico como ‘todas las aplicaciones ASP.NET Core son vulnerables’ podría sugerir. The Hacker News dice que la explotación exitosa depende de tres condiciones: la aplicación debe usar Microsoft.AspNetCore.DataProtection 10.0.6 de NuGet ya sea directamente o a través de un paquete dependiente, la copia de NuGet debe cargarse realmente en tiempo de ejecución, y la aplicación debe ejecutarse en Linux, macOS u otro sistema operativo no Windows.
Si se cumplen esas condiciones, el impacto puede ser grave. La rutina de validación afectada puede permitir que un atacante falsifique cargas útiles y descifre valores previamente protegidos almacenados en elementos como cookies de autenticación, tokens antifalsificación, TempData y estado de OpenID Connect. Microsoft también dice que la explotación podría permitir la divulgación de archivos y la modificación de datos, aunque no afecta la disponibilidad.
El escenario empresarial más peligroso es el escalamiento de privilegios a través del abuso de confianza en lugar de la ejecución de código ruidosa. Si un atacante puede autenticarse como un usuario privilegiado durante la ventana vulnerable, la aplicación puede emitir artefactos legítimamente firmados al atacante, incluidos sesionas renovadas, claves API o enlaces de restablecimiento de contraseñas. Esos artefactos pueden permanecer válidos incluso después de que se actualice el paquete, a menos que los defensores también roten el anillo de claves de Protección de Datos.
Mitigación de CVE-2026-40372
La corrección principal es directa: actualizar Microsoft.AspNetCore.DataProtection a la versión 10.0.7 y volver a desplegar las aplicaciones afectadas. La guía de Microsoft, según lo citado por BleepingComputer, es aplicar el nuevo paquete tan pronto como sea posible para que la rutina de validación rota se corrija y las cargas útiles falsificadas sean rechazadas en el futuro.
Dicho esto, solo el parcheo puede no cerrar completamente la exposición. Ambos informes mencionan que los tokens emitidos durante el período vulnerable pueden seguir siendo válidos después de la actualización, a menos que se rote el anillo de claves de Protección de Datos. En la práctica, las organizaciones deberían considerar la rotación de claves como parte del flujo de trabajo de remediación, especialmente para las aplicaciones orientadas a internet que dependen en gran medida de cookies, tokens antifalsificación, flujos de restablecimiento de contraseñas u otros estados de aplicación firmados. Esa última priorización es una inferencia operativa basada en los tipos de tokens afectados y las precondiciones de explotación.
Un plan de respuesta práctico es identificar aplicaciones ASP.NET Core no Windows que cargaron el paquete NuGet vulnerable en tiempo de ejecución, parchearlas a la versión 10.0.7, rotar el anillo de claves de Protección de Datos y revisar si sesiones privilegiadas u otros artefactos firmados pueden haber sido emitidos mientras la aplicación estaba expuesta. Donde sea factible, los equipos también deben considerar expirar o reemitir material de sesión sensible después de la remediación. Los criterios de triaje de paquete y tiempo de ejecución provienen directamente de las condiciones publicadas por Microsoft; el paso de revisión y reemisión de tokens es una inferencia defensiva razonable de la advertencia de Microsoft de que los tokens legítimamente firmados pueden sobrevivir a la actualización.
Además, aprovechando la Plataforma de Inteligencia de Detección Nativa de IA de SOC Prime respaldada por la mejor experiencia en defensa cibernética, las organizaciones globales pueden adoptar una postura de seguridad resiliente y transformar sus SOC para siempre estar por delante de las amenazas emergentes relacionadas con la explotación de día cero.
FAQ
¿Qué es CVE-2026-40372 y cómo funciona?
CVE-2026-40372 es una falla de escalamiento de privilegios en ASP.NET Core en las APIs criptográficas de Protección de Datos. Los paquetes afectados pueden validar los bytes incorrectos y descartar el HMAC calculado en algunos casos, lo que puede permitir a los atacantes falsificar cargas útiles protegidas y abusar de los mecanismos de confianza de la aplicación como las cookies de autenticación y otros estados firmados.
¿Cuándo se descubrió por primera vez CVE-2026-40372?
La fecha precisa de descubrimiento privado no se establece en los dos informes. Lo que es público es que Microsoft lanzó correcciones fuera de banda el 22 de abril de 2026, y BleepingComputer dice que Microsoft comenzó a investigar después de que los clientes informaron de fallos de descifrado tras la actualización .NET 10.0.6. The Hacker News también dice que un investigador anónimo fue acreditado por reportar la falla.
¿Cuál es el impacto de CVE-2026-40372 en los sistemas?
La explotación exitosa puede permitir cargas útiles falsificadas, divulgación de datos protegidos, divulgación de archivos, modificación de datos y escalamiento de privilegios hasta SISTEMA en los sistemas afectados. Los informes también señalan que la disponibilidad no se ve afectada.
¿CVE-2026-40372 todavía puede afectarme en 2026?
Sí. Los sistemas pueden seguir estando expuestos en 2026 si continúan ejecutando el paquete de Protección de Datos vulnerable bajo las condiciones afectadas, especialmente en hosts Linux, macOS u otros no Windows. Incluso después de parchear, los artefactos emitidos durante la ventana vulnerable pueden seguir siendo válidos hasta que se rote el anillo de claves de Protección de Datos.
¿Cómo puedo protegerme de CVE-2026-40372?
Actualice Microsoft.AspNetCore.DataProtection a 10.0.7, vuelva a desplegar las aplicaciones afectadas, rote el anillo de claves de Protección de Datos y revise si artefactos firmados sensibles como cookies de autenticación, sesiones de actualización, claves API o enlaces de restablecimiento deben invalidarse o reemitirse. La actualización del paquete y la rotación del anillo de claves están directamente respaldadas por la guía de Microsoft; la invalidación y reemisión son acciones prudentes de seguimiento basadas en el riesgo descrito por Microsoft.
