dotnet 2026
Aspire 13.4.6: correções para geração de código poliglota, colisão de porta em modo isolado e dependência MongoDB
Patch release para Aspire 13.4 corrigindo vinculação de geração de código AppHost poliglota quando versões CLI e SDK divergem, col
DotVVM agora exige token criptográfico para upload de arquivos
DotVVM agora exige um token criptográfico para requisições de upload de arquivos e adiciona a opção `DotvvmConfiguration.
CoreWCF.Primitives: Vulnerabilidade de bypass de verificação de assinatura
Uma vulnerabilidade de segurança no CoreWCF.
CoreWCF.Kafka: Null-value record causes processing halt
A null-value record on a Kafka topic causes CoreWCF to stop processing new records from that topic.
CoreWCF.UnixDomainSocket: PosixIdentity sem upgrade de stream
Um serviço CoreWCF hospedado em Unix Domain Sockets com tipo de credencial de cliente PosixIdentity não exige que o cliente realiz
CoreWCF.NetNamedPipe: vulnerabilidade de interceptação local corrigida nas versões 1.8.1 e 1.9.1
O transporte NetNamedPipe do CoreWCF permitia interceptação local do tráfego por anexação a uma instância de pipe nomeado existent
CoreWCF.UnixDomainSocket: Race condition em resolução de identidade de peer
Race condition na resolução de identidade de peer POSIX pode atribuir identidade de uma conexão a outra (getpwuid/getgrgid não ree
CoreWCF.Primitives: token replay detection falha com DetectReplayedTokens ativado
Um advisory de segurança foi publicado para CoreWCF.
CoreWCF.Primitives: validação de DigestMethod adicionada no pipeline de recebimento WS-Security 1.0
O pipeline de recebimento WS-Security 1.
DotVVM: Mitigação de ReDoS com timeout em regex de rota
DotVVM versões 4.3.15, 4.2.11 e 5.0.0-preview09 aplicam um timeout de 1 segundo em operações regex de rota para mitigar vulnerabil
DotVVM: AuthorizeActionFilter não funciona, corrigido em 4.3.15, 4.2.11 e 5.0.0-preview09
A classe AuthorizeActionFilter no DotVVM está quebrada e não faz nada, permitindo acesso não autorizado.
CoreWCF.NetFramingBase: Vulnerabilidade de negação de serviço por CPU (thread pool)
Um atacante remoto não autenticado pode fixar um worker do thread-pool do servidor em 100% de CPU por conexão, potencialmente exau
CoreWCF.Primitives: Verificação de assinatura SAML ignorada para tokens não X.509
Quando um serviço é configurado para validar tokens SAML usando um método diferente de assinatura com certificado X.
CoreWCF.Primitives: Vulnerabilidade de bypass na validação de token SAML 1.1
Advertência de segurança: bypass na validação de token SAML 1.
CoreWCF.Primitives: Vulnerabilidade de Impersonação via SAML
Uma vulnerabilidade de segurança no CoreWCF.
CoreWCF.Primitives: Vulnerabilidade de reutilização de envelope SOAP assinado
Uma vulnerabilidade de segurança no CoreWCF.
CoreWCF.Primitives: Vulnerabilidade de Impersonação com TransportWithMessageCredential
Uma vulnerabilidade de segurança no CoreWCF.
NCalc: correção de vulnerabilidade de negação de serviço no operador fatorial
Uma vulnerabilidade de negação de serviço no operador fatorial do NCalc foi corrigida adicionando validação de limites para operan
Microsoft.NETCore.App.Runtime.linux-x64: Vulnerabilidade de path traversal em TarFile.ExtractToDirectory
Uma vulnerabilidade de adulteração no método TarFile.
dotnet/aspire v13.4.5: Patch para CVE-2026-48109, validação SemVer e telemetria
Patch release v13.4.5 eleva StreamJsonRpc para 2.25.29, eliminando a dependência transitiva MessagePack com GHSA-hv8m-jj95-wg3x (C
Microsoft.AspNetCore.App.Runtime.linux-x64: Vulnerabilidade de negação de serviço no protocolo MessagePack do SignalR e Blazor Server
Uma vulnerabilidade de negação de serviço no protocolo MessagePack do hub usado pelo SignalR e Blazor Server permite que um invaso
Aspire 13.4.4: correções de reconexão DCP e filtro ExcludeFromMcp()
Patch release para Aspire 13.4 com duas correções: melhoria na confiabilidade da conexão DCP durante execução de requisições (reco
MessagePack para .NET: leitura fora dos limites no caminho de descompressão LZ4
Uma vulnerabilidade no caminho de descompressão LZ4 do MessagePack para .
Polly 8.7.0 lançado
Lançamento da versão 8.7.0 da Polly, biblioteca .NET para resiliência e tratamento de falhas transitórias.
.NET Blog: Anúncio do .NET Day of Agentic Modernization Livestream
Anunciado o evento .NET Day of Agentic Modernization Livestream.
.NET 11 Preview 5 lançado com novos recursos
.NET 11 Preview 5 foi lançado com novos recursos no runtime, SDK, bibliotecas, ASP.NET Core, .NET MAUI, C#, Entity Framework Core
dotnet/runtime v8.0.28: correções e atualizações de dependências
A versão v8.0.28 do dotnet/runtime inclui múltiplas correções e atualizações de dependências: servidor WebSocket agora nega recebi
dotnet/efcore v9.0.17: atualizações de dependências e branding
Release v9.0.17 do dotnet/efcore, incluindo atualizações de dependências, atualizações de branding e commits internos mesclados do
dotnet/runtime v9.0.17: correções e atualizações de dependências
A versão 9.0.17 do dotnet/runtime inclui múltiplas correções e atualizações de dependências: servidor WebSocket agora nega recebim
dotnet/efcore v10.0.9: correções de bugs em filtros de consulta e discriminadores de propriedade complexa anulável
Patch release v10.0.9 do EF Core com duas correções de bugs: nomes de parâmetros de filtro de consulta com parâmetros de construto
dotnet/runtime v10.0.9: correções de bugs e otimizações
A versão v10.0.9 do dotnet/runtime inclui múltiplas correções de bugs e otimizações: correções para docker compose, vinculação do
.NET MAUI Android agora com suporte a Material 3
Suporte a Material 3 (Material You) adicionado para apps .
.NET Blog: Dicas para usar GitHub Copilot como desenvolvedor .NET
Publicado um post no blog com dicas para desenvolvedores .
dotnet/aspire v13.4.1: correções de bugs no ciclo de vida, Redis, endpoints e template
Patch v13.4.1 corrige quatro bugs: callbacks de ciclo de vida de recurso com início explícito disparados muito cedo; deadlock no c
dotnet/aspire v13.4.2: correção de deadlock no Redis com TLS e contêiner persistente
Patch 13.4.2 corrige um deadlock em contêineres Redis persistentes com TLS, causado pelo uso de portas de host públicas em vez de
.NET Blog: Microsoft Build 2026 – Resumo das Sessões .NET
Microsoft Build 2026 incluiu sessões sobre .
dotnet/aspire v13.4.3: Correção de regressão na alocação de endpoints de contêiner persistente
Patch release corrigindo regressão na alocação de endpoints de contêiner persistente: contêineres persistentes agora usam comporta
Nerdbank.MessagePack: Alocação excessiva de memória na desserialização de coleções
Os desserializadores do Nerdbank.
Nerdbank.MessagePack: Vulnerabilidade de Negação de Serviço no WithExpandoObjectConverter
Um advisory de segurança foi publicado para Nerdbank.
TinyMCE 6.8.x-7.0.x: XSS via SVG namespace handling
TinyMCE 6.8.x-7.0.x contém uma vulnerabilidade XSS devido ao tratamento inadequado do escopo do namespace SVG no sanitizador, perm
TinyMCE: Stored XSS via data-mce-* attributes
Stored XSS vulnerability via unsanitized data-mce-* attributes (data-mce-href, data-mce-src, data-mce-style).
TinyMCE: Vulnerabilidade de XSS Armazenado via Comentários mce:protected Forjados
Uma vulnerabilidade de XSS armazenado foi descoberta em comentários mce:protected forjados, permitindo que invasores contornem a s
TinyMCE: Vulnerabilidade XSS Armazenado no Plugin de Mídia
Vulnerabilidade de XSS armazenado no plugin de mídia permite que atacantes injetem scripts maliciosos via atributos data-mce-* man