漏洞概述 漏洞名称:Local privilege escalation in ANSSI's DFIR-ORC 发布日期:2026年8月18日 标识符:INCIBE-2026-436 重要性:4 - High CVSS评分:7.3 CVSS向量:AV:L/AC:L/AT:/PR:L/UI:N/S:C/C:H/I:H/A:H CVE编号:CVE-2026-11958 影响范围 受影响资源:DFIR-ORC 10.2.7及更早版本 修复方案 解决方案:该漏洞已在ANSSI团队的10.2.8版本中得到缓解,并在10.3.0版本中完全修复。 早期版本的临时解决方案: - 不要从过于宽松的目录执行(v10.8.0)。 - 除非将临时目录(/tmpdir)设置为具有适当权限的位置,否则不要以System身份运行(<10.2.8)。 详细信息 漏洞描述:ANSSI的DFIR-ORC是一个开源、模块化的工具,用于收集和分析Microsoft Windows系统上的取证工件。该漏洞由Rémi Delabrosse和Nicolas Rodrigues从Oppida发现。 漏洞利用方式:攻击者可以通过加载来自共享临时目录的DLL来利用此漏洞。攻击者可以在Windows/Temp中放置恶意DLL,并等待应用程序执行。由于DFIR-ORC从该位置提取和执行,具有管理员权限,恶意库可以自动加载,使攻击者能够在受影响的机器上获得管理员权限。 CVE信息 CVE编号:CVE-2026-11958 严重程度:高 利用方式:本地权限提升 制造商:ANSSI