CSIRT Toscana Rufus: PoC pubblico per lo sfruttamento della CVE-2026-23988 (AL03/260126/CSIRT-ITA)
Data:
26 Gennaio 2026
Impatto Sistemico
Alto (69.61)
Sintesi
Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2026-23988 – presente in Rufus, noto tool open source per creare supporti USB avviabili. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di eseguire codice arbitrario con privilegi amministrativi sui sistemi interessati.
Tipologia
- Privilege Escalation
- Arbitrary Code Execution
Descrizione e potenziali impatti
È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2026-23988 – di tipo “ Local Privilege Escalation ” e con score CVSS v3.x pari a 7.3 – presente in Rufus, tool open source per la creazione di supporti USB avviabili.
In dettaglio, la vulnerabilità consentirebbe ad un utente locale non privilegiato di eseguire codice arbitrario con diritti amministrativi sfruttando una race condition TOCTOU (Time-Of-Check Time-Of-Use) nella gestione dello script Fido utilizzato da Rufus durante il download delle ISO.
Prodotti e/o versioni affette
- Rufus,versioni precedenti alla 4.12_BETA
Azioni di mitigazione
Ove non provveduto, si raccomanda di aggiornare il software interessato all’ultima versione disponibile seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
- https://github.com/pbatard/rufus/releases/tag/v4.12_BETA
- https://github.com/pbatard/rufus/security/advisories/GHSA-hcx5-hrhj-xhq9
CVE
| CVE-ID |
|---|
| CVE-2026-23988 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 26-01-2026 | 26/01/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
26 Gennaio 2026, 16:35