Katalog CVE

CVE-2026-11958

WysokieCVSS 7.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.10%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

Podatność umożliwia lokalne podniesienie uprawnień poprzez ładowanie złośliwych bibliotek DLL z wspólnego katalogu tymczasowego w DFIR-ORC w wersjach 10.2.7 i wcześniejszych. Atakujący z dostępem do systemu może umieścić złośliwą bibliotekę DLL w C:\Windows\Temp, co pozwala na jej automatyczne załadowanie przy uruchomieniu aplikacji z uprawnieniami administratora.

Ocena ryzyka

Organizacja narażona jest na ryzyko przejęcia kontroli nad systemem przez atakującego, co może prowadzić do utraty danych lub nieautoryzowanego dostępu do zasobów. Wzrost uprawnień do poziomu administratora stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację DFIR-ORC do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do katalogu C:\Windows\Temp oraz monitorować jego zawartość w celu wykrywania potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

Local privilege escalation by loading DLLs from a shared temporary directory in ANSSI’s DFIR-ORC, versions 10.2.7 and prior. An attacker with prior access to the system, can place a malicious DLL in C:\Windows\Temp and wait for the application to be executed. Because DFIR-ORC is extracted and executed from that location with administrative privileges, the malicious library can be loaded automatically, allowing the attacker to gain administrator privileges on the affected machine.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS