Estimada comunidad de desarrolladores y usuarios de .NET,
Nos complace anunciar (y a la vez alertar sobre la necesidad) el lanzamiento de .NET 10.0.7, una actualización fuera de banda (OOB, por sus siglas en inglés) que se ha implementado de manera urgente. Esta versión aborda dos problemas críticos: una regresión en el proceso de descifrado que había afectado a algunas aplicaciones y, lo que es aún más importante, una vulnerabilidad de seguridad significativa identificada como CVE-2026-40372. Esta vulnerabilidad fue introducida en el paquete Microsoft.AspNetCore.DataProtection, un componente fundamental en la seguridad de muchas aplicaciones web modernas construidas con ASP.NET Core. La naturaleza crítica de estos problemas ha requerido una acción rápida por parte del equipo de .NET para garantizar la integridad y el buen funcionamiento de sus aplicaciones.
Detalles de la actualización de seguridad y la regresión
Tras la publicación de .NET 10.0.6 como parte del rutinario Patch Tuesday, recibimos informes de varios clientes que experimentaban fallos inexplicables en el descifrado de sus aplicaciones. Estos problemas fueron documentados en el issue #66335 de aspnetcore en GitHub, donde los desarrolladores describían cómo las operaciones de protección de datos que antes funcionaban correctamente, ahora fallaban, impidiendo el correcto funcionamiento de características esenciales en sus sistemas.
Durante la investigación exhaustiva de estos informes de regresión, nuestros ingenieros descubrieron que el problema de descifrado no era un incidente aislado, sino que estaba entrelazado con una vulnerabilidad de seguridad subyacente mucho más grave. Esta vulnerabilidad, registrada bajo el identificador CVE-2026-40372, afecta directamente al paquete Microsoft.AspNetCore.DataProtection en versiones que van desde la 10.0.0 hasta la 10.0.6. Este componente es esencial para la seguridad de datos en aplicaciones ASP.NET Core, encargado de proteger la información sensible como cookies de autenticación, tokens anti-falsificación y otras configuraciones cifradas.
La vulnerabilidad CVE-2026-40372: Riesgo de Elevación de Privilegios
La falla de seguridad reside en cómo el encriptador autenticado gestionado dentro del paquete Microsoft.AspNetCore.DataProtection procesaba ciertas operaciones. Específicamente, se detectó que el encriptador podía calcular su etiqueta de validación HMAC (Código de Autenticación de Mensajes basado en Hash) sobre los bytes incorrectos de la carga útil (payload). Lo que es aún más preocupante es que, después de este cálculo erróneo, el hash computado era descartado, dejando una ventana de oportunidad significativa para actores malintencionados.
La consecuencia directa de esta deficiencia es el potencial de elevación de privilegios. En un escenario de ataque exitoso, un atacante podría manipular datos cifrados de tal manera que el sistema los acepte como válidos, a pesar de haber sido alterados. Esto podría permitirles obtener accesos o permisos que normalmente no tendrían, comprometiendo la seguridad y la integridad de la aplicación y los datos que maneja. Dada la ubicuidad de Microsoft.AspNetCore.DataProtection en las aplicaciones ASP.NET Core para funciones críticas como la gestión de sesiones y la protección de datos sensibles, esta vulnerabilidad representa un riesgo considerable que no puede ser ignorado.
¿Por qué una actualización fuera de banda (OOB)?
Las actualizaciones OOB son poco comunes y se reservan estrictamente para situaciones de emergencia que requieren una acción inmediata. La decisión de lanzar .NET 10.0.7 de esta manera subraya la gravedad y la urgencia de la vulnerabilidad CVE-2026-40372, así como la necesidad de rectificar la regresión de descifrado sin esperar el ciclo de lanzamiento mensual habitual. Esto asegura que la comunidad de desarrolladores pueda proteger sus sistemas contra posibles ataques y restaurar la funcionalidad completa de sus aplicaciones lo antes posible.
⚠ ¡Actualización Requerida!
Si su aplicación utiliza ASP.NET Core Data Protection, es imperativo que actualice el paquete Microsoft.AspNetCore.DataProtection a la versión 10.0.7 tan pronto como sea posible. Esta acción es crucial para solucionar tanto la regresión de descifrado como la vulnerabilidad de seguridad que podría comprometer la integridad de su sistema.
Guía de descarga e instalación de .NET 10.0.7
Para facilitar esta actualización crítica, hemos proporcionado recursos detallados para descargar e instalar .NET 10.0.7. Es vital seguir estos pasos para asegurar que su entorno de desarrollo y sus aplicaciones estén completamente protegidos y funcionando correctamente.
Recursos de descarga
- Notas de la versión: Acceda a los detalles completos de esta versión en las notas de la versión 10.0.
- Instaladores y binarios: Descargue el SDK o el Runtime de .NET 10.0.7 directamente desde dotnet.microsoft.com/download/dotnet/10.0.
- Imágenes de contenedor: Para aquellos que utilizan contenedores, las imágenes actualizadas están disponibles en mcr.microsoft.com/catalog?search=dotnet/.
- Paquetes para Linux: Si trabaja con Linux, consulte la guía de instalación para Linux 10.0.
- Problemas conocidos: Revise cualquier problema pendiente en la sección de problemas conocidos de 10.0.
Pasos de instalación
- Descargue e instale: Obtenga el SDK o el Runtime de .NET 10.0.7 y proceda con su instalación. Elija la versión que mejor se adapte a sus necesidades (SDK si desarrolla, Runtime si solo ejecuta aplicaciones).
- Verifique la instalación: Abra su terminal o línea de comandos y ejecute
dotnet --info. Asegúrese de que la versión mostrada sea la 10.0.7 para confirmar que la instalación se realizó correctamente. Esta verificación es un paso crucial para garantizar que las correcciones se hayan aplicado a su entorno. - Recompile y redespliegue sus aplicaciones: Una vez que .NET 10.0.7 esté instalado en su sistema, es fundamental que recompile todas sus aplicaciones que utilicen ASP.NET Core Data Protection. Después de la recompilación, redespliegue sus aplicaciones utilizando las imágenes o paquetes actualizados. Este paso garantiza que sus aplicaciones en producción o en desarrollo hagan uso de la versión segura y corregida del paquete
Microsoft.AspNetCore.DataProtection. No basta con solo instalar el SDK/Runtime; las aplicaciones existentes deben ser actualizadas para consumir los cambios.
Comparta sus comentarios
Su feedback es invaluable para nosotros. Si después de instalar esta actualización experimenta cualquier problema o tiene alguna pregunta, por favor, háganoslo saber a través de los issues de feedback de la versión de .NET en GitHub. La colaboración de la comunidad es clave para mantener la estabilidad y seguridad del ecosistema .NET.
El equipo de .NET agradece su pronta acción y cooperación para mantener seguras sus aplicaciones. Continuaremos trabajando diligentemente para ofrecerles un framework robusto y fiable.
