Vulnerabilidad en Microsoft Edge (Chromium-based) de Microsoft (CVE-2026-21223)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-269 Gestión de privilegios incorrecta

Fecha de publicación:

16/01/2026

Última modificación:

22/02/2026

Descripción

El Servicio de Elevación de Microsoft Edge expone una interfaz COM privilegiada que valida de forma inadecuada los privilegios del proceso llamador. Un usuario local estándar (no administrador) puede invocar el método de interfaz IElevatorEdge LaunchUpdateCmdElevatedAndWait, haciendo que el servicio ejecute comandos de actualización privilegiados como LocalSystem.<br /> Esto permite a un no administrador habilitar o deshabilitar la Seguridad Basada en Virtualización (VBS) de Windows modificando claves de registro de sistema protegidas bajo HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard. Deshabilitar VBS debilita protecciones críticas de la plataforma como Credential Guard, la Integridad de Código Protegida por Hipervisor (HVCI) y el kernel seguro, lo que resulta en una omisión de característica de seguridad.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.10 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.10

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:microsoft:edge_chromium::::::::		144.0.3719.82 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21223