Actualización de Microsoft Emergency.NET 10.0.7 para aplicar parches la vulnerabilidad de elevación de privilegios

Microsoft ha publicado una actualización de seguridad fuera de banda (OOB) de emergencia para.NET 10, lanzando la versión 10.0.7 el 21 de abril de 2026, para abordar una vulnerabilidad crítica de elevación de privilegios descubierta en el paquete Microsoft.AspNetCore.DataProtection NuGet. El lanzamiento fuera de banda se produjo después de que los clientes comenzaron a informar fallas de descifrado en sus aplicaciones ASP.NET Core luego de la actualización estándar Patch Tuesday.NET 10.0.6.

Mientras investigaban esos informes, los ingenieros de Microsoft descubrieron un problema más profundo y grave, una regresión de seguridad que introdujo una vulnerabilidad explotable en todas las versiones del paquete desde la 10.0.0 hasta la 10.0.6. Actualización de emergencia de.NET 10.0.7 La falla se rastrea como CVE-2026-40372 y reside en el cifrador autenticado administrado dentro del paquete Microsoft.AspNetCore.DataProtection. La vulnerabilidad afecta a cualquier aplicación que utilice el paquete Microsoft.AspNetCore.DataProtection en las versiones.NET 10.0.0 a 10.0.6. Microsoft insta encarecidamente a todos los desarrolladores y organizaciones que ejecutan versiones afectadas a que actualicen el paquete Microsoft.AspNetCore.DataProtection a la versión 10.0.7 de inmediato.

Este parche de emergencia sigue un patrón en el que Microsoft acelera las correcciones de seguridad fuera de su ciclo habitual de parches del martes cuando se descubren regresiones críticas. La publicación Actualización de Microsoft Emergency.NET 10.0.7 para aplicar parches la vulnerabilidad de elevación de privilegios apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗