Microsoft ha alertado sobre una vulnerabilidad de gravedad moderada identificada en Microsoft Identity Web (CVE-2025-32016). Bajo ciertas condiciones, esta falla podría resultar en la exposición de secretos de cliente e información de certificados en los registros del servicio.
La vulnerabilidad afecta a las versiones 3.2.0 a 3.8.1 de la biblioteca Microsoft.Identity.Web, un paquete NuGet ampliamente utilizado para simplificar la autenticación de Azure Active Directory en aplicaciones .NET, lo que ha motivado la emisión de una advertencia urgente por parte de Microsoft.
Se emplea comúnmente en aplicaciones cliente confidenciales, incluidos demonios, aplicaciones web y API web.
El problema surge cuando se registra información de autenticación confidencial en determinadas configuraciones, específicamente:
Nivel de registro: Los registros se generan en el nivel de información.
Descripciones de credenciales: Registros que contienen rutas de archivos locales con contraseñas, valores codificados en Base64 o secretos de cliente.
Certificados no válidos o caducados: Registros de servicios que utilizan certificados codificados en Base64 no válidos o caducados o rutas de certificados con descripciones de credenciales de contraseña.
«Esta vulnerabilidad afecta a las aplicaciones cliente confidenciales, incluidos demonios, aplicaciones web y API web. En circunstancias específicas, información confidencial como secretos del cliente o detalles de certificados puede quedar expuesta en los registros de servicio de estas aplicaciones», afirma el aviso.
A Marcel Michau se le atribuyó el descubrimiento, y Jean-Marc Prieur y Jenny Ferris del equipo de Microsoft Identity se encargaron del desarrollo de la solución.
El resumen de la vulnerabilidad se proporciona a continuación:
- Productos Afectados: Microsoft.Identity.Web (versiones 3.2.0 a <3.8.2) y Microsoft.Identity.Abstractions (versiones 7.1.0 a <9.0.0)
- Impacto: Exposición de información sensible.
- Requisitos: Nivel de registro establecido en Información.- Registros que contienen descripciones de credenciales, como valores codificados en Base64, secretos de cliente o certificados no válidos/caducados.
- Puntuación CVSS 3.1: 4.7 (gravedad moderada)
Impacto de la vulnerabilidad
La exposición ocurre específicamente bajo las siguientes condiciones:
- Cuando los registros de servicio se generan en LogLevel = Información para el espacio de nombres Microsoft.Identity.Web
- Cuando las descripciones de credenciales contienen rutas de archivos locales con contraseñas, valores codificados en Base64 o secretos de cliente
- Cuando los registros incluyen certificados codificados en Base64 o rutas de certificados con descripciones de credenciales de contraseña que no son válidas o han caducado (independientemente del nivel de registro)
La vulnerabilidad recibió una puntuación CVSS de 4,7, lo que refleja su gravedad moderada. Si bien el impacto depende de la seguridad con la que se manejen los registros de servicios, las organizaciones con prácticas inadecuadas de protección de registros podrían enfrentar importantes riesgos de seguridad si actores malintencionados obtienen estas credenciales.
Microsoft ha lanzado parches para solucionar este problema y se insta a los usuarios a actualizar a:
- Microsoft.Identity.Web versión 3.8.2
- Microsoft.Identity.Abstractions versión 9.0.0.
Las versiones parcheadas impiden el registro de información de autenticación confidencial.
Para las organizaciones que no pueden actualizar sus paquetes inmediatamente, se han sugerido varias soluciones:
- Asegúrese de que los registros de servicio se manejen de forma segura con acceso restringido
- Evite usar LogLevel = Información para el espacio de nombres Microsoft.Identity.Web
- Para entornos de producción, evite usar ClientCredentials con CredentialDescriptions donde CredentialSource esté configurado en ClientSecret, Base64Encoded o Path.
Los expertos en seguridad recomiendan utilizar certificados de KeyVault o un almacén de certificados, o implementar credenciales de identidad de Federación con Managed Identity como alternativas más seguras.
El aviso señala que «los registros de servicio deben manejarse de forma segura», y enfatiza que las organizaciones con medidas de seguridad de registros adecuadas pueden no verse afectadas.
Sin embargo, el uso generalizado de Microsoft Identity Web en aplicaciones empresariales hace que esta vulnerabilidad sea particularmente preocupante.
Esta vulnerabilidad resalta la importancia crítica de las prácticas de registro seguras, especialmente cuando se manejan credenciales de autenticación.
Se recomienda encarecidamente a las organizaciones que utilizan versiones afectadas de Microsoft Identity Web que implementen las actualizaciones o soluciones necesarias para proteger sus credenciales de autenticación de una posible exposición.
