Facebook Instagram Linkedin X-twitter
C/Santa Bárbara, 20, Bajo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Escalada de privilegios locales en DFIR-ORC de ANSSI

In Noticias y Avisos CiberseguridadPosted

Escalada de privilegios locales en DFIR-ORC de ANSSI

Aviso
Recursos Afectados

Versiones de DFIR-ORC anteriores a la 10.2.7 (incluida).

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a DFIR-ORC de ANSSI, una herramienta de código abierto y modular diseñada para recopilar y analizar artefactos forenses en sistemas Microsoft Windows. La vulnerabilidad ha sido descubierta por Rémi Delabrosse y Nicolas Rodrigues de Oppida.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2026-11958: CVSS v4.0: 7.3 | CVSS AV:L/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H | CWE-427
Identificador
INCIBE-2026-436

Solución

El equipo de la ANSSI ha mitigado la vulnerabilidad en la versión 10.2.8 y la ha solucionado por completo con una corrección mejorada en la versión 10.3.0.

Solución provisional para versiones anteriores:

  • No ejecutar desde un directorio demasiado permisivo (v10.8.0).
  • No ejecutar como Sistema a menos que se configure el directorio temporal (/tempdir) en una ubicación con los permisos adecuados. (<10.2.8).
Detalle

CVE-2026-11958: escalada local de privilegios mediante la carga de bibliotecas DLL desde un directorio temporal compartido. Un atacante con acceso previo al sistema, puede colocar una DLL maliciosa en C:\Windows\Temp, y esperar a que la aplicación sea ejecutada. Debido a que DFIR-ORC se extrae y ejecuta desde dicha ubicación con privilegios administrativos, la biblioteca maliciosa puede ser cargada automáticamente, permitiendo al atacante obtener privilegios de administrador en el equipo afectado.

4 – Alta
Listado de referencias
Release v10.3.0 · DFIR-ORC/dfir-orc · GitHub

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-11958 Media No ANSSI

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.