CVE-2026-11958
WysokieCVSS 7.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
Podatność umożliwia lokalne podniesienie uprawnień poprzez ładowanie złośliwych bibliotek DLL z wspólnego katalogu tymczasowego w DFIR-ORC w wersjach 10.2.7 i wcześniejszych. Atakujący z dostępem do systemu może umieścić złośliwą bibliotekę DLL w C:\Windows\Temp, co pozwala na jej automatyczne załadowanie przy uruchomieniu aplikacji z uprawnieniami administratora.
Ocena ryzyka
Organizacja narażona jest na ryzyko przejęcia kontroli nad systemem przez atakującego, co może prowadzić do utraty danych lub nieautoryzowanego dostępu do zasobów. Wzrost uprawnień do poziomu administratora stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację DFIR-ORC do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do katalogu C:\Windows\Temp oraz monitorować jego zawartość w celu wykrywania potencjalnych zagrożeń.
Oryginalny opis (angielski, źródło NVD)
Local privilege escalation by loading DLLs from a shared temporary directory in ANSSI’s DFIR-ORC, versions 10.2.7 and prior. An attacker with prior access to the system, can place a malicious DLL in C:\Windows\Temp and wait for the application to be executed. Because DFIR-ORC is extracted and executed from that location with administrative privileges, the malicious library can be loaded automatically, allowing the attacker to gain administrator privileges on the affected machine.

