Escalada de privilegios locales en DFIR-ORC de ANSSI
Versiones de DFIR-ORC anteriores a la 10.2.7 (incluida).
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a DFIR-ORC de ANSSI, una herramienta de código abierto y modular diseñada para recopilar y analizar artefactos forenses en sistemas Microsoft Windows. La vulnerabilidad ha sido descubierta por Rémi Delabrosse y Nicolas Rodrigues de Oppida.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2026-11958: CVSS v4.0: 7.3 | CVSS AV:L/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H | CWE-427
El equipo de la ANSSI ha mitigado la vulnerabilidad en la versión 10.2.8 y la ha solucionado por completo con una corrección mejorada en la versión 10.3.0.
Solución provisional para versiones anteriores:
- No ejecutar desde un directorio demasiado permisivo (v10.8.0).
- No ejecutar como Sistema a menos que se configure el directorio temporal (/tempdir) en una ubicación con los permisos adecuados. (<10.2.8).
CVE-2026-11958: escalada local de privilegios mediante la carga de bibliotecas DLL desde un directorio temporal compartido. Un atacante con acceso previo al sistema, puede colocar una DLL maliciosa en C:\Windows\Temp, y esperar a que la aplicación sea ejecutada. Debido a que DFIR-ORC se extrae y ejecuta desde dicha ubicación con privilegios administrativos, la biblioteca maliciosa puede ser cargada automáticamente, permitiendo al atacante obtener privilegios de administrador en el equipo afectado.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-11958 | Media | No | ANSSI |
