CVE-2025-24070

Nome do Software Vulnerável e Versões Afetadas: Versões do ASP.NET Core anteriores a 9.0.3 Versões do ASP.NET Core anteriores a 8.0.14 Versões do ASP.NET Core anteriores a 6.0.37

Descrição: Existe uma vulnerabilidade em aplicações ASP.NET Core que chamam RefreshSignInAsync com um parâmetro de usuário autenticado incorretamente, o que poderia permitir que um invasor fizesse login na conta de outro usuário, resultando em Elevação de Privilégio. A vulnerabilidade é causada por autenticação fraca no ASP.NET Core e no Visual Studio. Um invasor poderia possivelmente usar esse problema para elevar privilégios, executar código arbitrário ou causar uma negação de serviço.

Recomendações: Para a versão 9.0 do ASP.NET Core, atualize para o .NET 9.0.3 Runtime ou .NET 9.0.103 SDK. Para a versão 8.0 do ASP.NET Core, atualize para o .NET 8.0.14 Runtime. Para a versão 6.0 do ASP.NET Core, atualize para o .NET 6.0.37 Runtime. Se sua aplicação referencia o pacote vulnerável, atualize a referência do pacote para a versão corrigida. Reinicie seus aplicativos para que a atualização tenha efeito. Se você implantou aplicativos autônomos direcionados a qualquer uma das versões impactadas, esses aplicativos também estão vulneráveis e devem ser recompilados e reimplantados.