Se ha descubierto una vulnerabilidad de severidad alta en Rufus, una popular herramienta de código abierto para crear dispositivos USB de arranque. Un actor malicioso podría ejecutar código arbitrario con permisos de administrador en los sistemas afectados.
Productos afectados
- Rufus, versiones 4.11 y anteriores.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–23988: con una puntuación de 7.3 en CVSS v3.1. Existe una vulnerabilidad de condición de carrera de tipo TOCTOU (Time-Of-Check Time-Of-Use) en el componente src/net.c durante la creación y ejecución del script de PowerShell «Fido». Debido a que la herramienta se ejecuta con privilegios elevados pero escribe archivos en directorios temporales accesibles por usuarios estándar sin el bloqueo de archivos adecuado, un actor malicioso local podría reemplazar el script legítimo por uno malicioso antes de su ejecución. Esto podría permitir la ejecución de código arbitrario con privilegios de administrador.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias