Quando incorporados em aplicativos, esses tokens de longa duração conferem o tipo de poder que os invasores atacam rapidamente. “Se um invasor usou cargas forjadas para se autenticar como um usuário privilegiado durante a janela vulnerável, ele pode ter induzido o aplicativo a emitir tokens assinados legitimamente (atualização de sessão, chave de API, link de redefinição de senha, etc.) para si mesmo”, observou o comunicado.
Esta vulnerabilidade chega apenas seis meses depois que o ASP.NET sofreu uma de suas piores falhas, a CVE-2025-55315 de outubro, com classificação CVSS 9.9, no componente de servidor web Kestrel. Mas de forma um tanto alarmante, o comunicado atual compara o problema ao MS10-070, um patch de emergência para CVE-2010-3332, uma infame vulnerabilidade de dia zero na forma como o Windows ASP.NET lidava com erros criptográficos que causaram certo pânico em 2010.
Não é uma simples atualização
Normalmente, quando falhas são descobertas, o exercício envolve apenas a aplicação de uma atualização, solução alternativa ou mitigação. Nesse caso, a atualização em si já deveria ter acontecido automaticamente para compilações de servidores, levando os tempos de execução para a versão corrigida 10.0.7.
