A Microsoft emitiu uma atualização de segurança emergencial fora de banda (OOB) para .NET 10, lançando a versão 10.0.7 em 21 de abril de 2026, para abordar uma vulnerabilidade crítica de elevação de privilégio descoberta no pacote NuGet Microsoft.AspNetCore.DataProtection.
Contexto da atualização emergencial
A liberação fora de banda foi provocada após clientes começarem a relatar falhas de descriptografia em suas aplicações ASP.NET Core após a atualização padrão do Patch Tuesday .NET 10.0.6.
Estes problemas foram rastreados publicamente no issue #66335 do ASP.NET Core, onde desenvolvedores afetados sinalizaram regressões generalizadas de descriptografia. Ao investigar esses relatórios, engenheiros da Microsoft descobriram um problema mais profundo e sério, uma regressão de segurança que introduziu uma vulnerabilidade explorável em todas as versões do pacote de 10.0.0 até 10.0.6.
Detalhes técnicos da vulnerabilidade
A falha é rastreada como CVE-2026-40372 e reside no criptografador autenticado gerenciado dentro do pacote Microsoft.AspNetCore.DataProtection.
Nas versões afetadas, o criptografador poderia calcular sua tag de validação HMAC (Hash-based Message Authentication Code) sobre bytes incorretos da carga útil e subsequentemente descartar o hash calculado.
Este manuseio criptográfico inadequado poderia permitir que um atacante manipule dados protegidos de maneiras que contornem a validação de integridade, resultando em elevação de privilégio. O bug efetivamente mina uma garantia de segurança central da pilha Data Protection do ASP.NET Core, um framework amplamente confiável para criptografar cookies, tokens e estado de aplicação sensível.
Impacto e alcance
A vulnerabilidade afeta qualquer aplicação que use o pacote Microsoft.AspNetCore.DataProtection em versões .NET 10.0.0 até 10.0.6.
Dado que o ASP.NET Core Data Protection é um componente fundamental usado para autenticação de cookie, tokens anti-falsificação e criptografia TempData, a superfície de ataque potencial é significativa. Aplicações que manipulam sessões de usuário ou cargas úteis protegidas sem atualização estão em risco de ataques de escalonamento de privilégio.
Medidas de mitigação recomendadas
A Microsoft insta fortemente todos os desenvolvedores e organizações executando versões afetadas a atualizar o pacote Microsoft.AspNetCore.DataProtection para a versão 10.0.7 imediatamente.
O SDK e runtime atualizados estão disponíveis para download na página oficial de download .NET 10.0. Após instalação, administradores devem:
- Executar dotnet --info para confirmar que a versão de runtime reflete 10.0.7
- Reconstruir e reimplantar todas as aplicações usando pacotes NuGet atualizados ou imagens de container
- Revisar orientação de instalação de pacote Linux para implantações de servidor
Imagens de container também foram atualizadas e estão disponíveis via Microsoft Container Registry. Problemas conhecidos para o trem de lançamento 10.0 são documentados no repositório oficial .NET Core GitHub.
O que os CISOs devem fazer imediatamente
- Identificar todas as aplicações usando Microsoft.AspNetCore.DataProtection
- Verificar versões do pacote em uso
- Agendar atualização para versão 10.0.7
- Reconstruir e reimplantar aplicações afetadas
- Monitorar logs de descriptografia para anomalias
Perguntas frequentes
Por que esta atualização é emergencial? A atualização segue um padrão da Microsoft acelerando correções de segurança fora do ciclo regular Patch Tuesday quando regressões críticas são descobertas.
Isso afeta apenas .NET 10? Sim, a vulnerabilidade afeta especificamente versões 10.0.0 até 10.0.6 do pacote Microsoft.AspNetCore.DataProtection.