Microsoft ha publicat un avís de seguretat relatiu a la vulnerabilitat CVE-2026-26119, que afecta Windows Admin Center (WAC), una ferramenta web d’administració de sistemes àmpliament utilitzada en entorns Windows per a gestionar clients, servidors, clústers, Hyper-V i servicis d’Active Directory. La vulnerabilitat permet l’escalada de privilegis des de credencials amb permisos baixos, potencialment fins al nivell de l’usuari que executa l’aplicació.
Anàlisi
- Identificador: CVE-2026-26119.
- Tipus de fallada: autenticació incorrecta (CWE-287), que permet escalar privilegis sobre la xarxa sense interacció addicional de l’usuari.
- Puntuació de risc: CVSS 3.x base ≈ 8.8 (Alta / Crítica).
- Impacte: si s’explota amb èxit, un atacant podria elevar els seus privilegis al nivell de l’usuari que executa Windows Admin Center, la qual cosa en alguns entorns administratius pot conduir fins a un compromís total del domini.
Nota tècnica addicional: en l’anàlisi de tercers es detalla que la fallada s’origina en validacions insuficients d’autenticació dins de les API i components de WAC, la qual cosa facilita l’escalada des de comptes de baix privilegi.
Recursos afectats
- Producte afectat: Windows Admin Center (abans de la versió 2511 / 2.6.4).
- Versions vulnerables: totes les instal·lacions de WAC anteriors a l’actualització apedaçada (incloses versions 2.x i 2511 quan no estiguen actualitzades).
Recomendacions
- Aplicar el pedaç o l’actualització oficial de Windows Admin Center a la versió 2511 (o superior) distribuïda per Microsoft o bé 2.6.4 d’ara en avant segons referència de diversos trackers tècnics.
Referencias
- https://www.helpnetsecurity.com/2026/02/19/windows-admin-center-cve-2026-26119/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26119
- https://thehackernews.com/2026/02/microsoft-patches-cve-2026-26119.html
Finalment, et convidem a compartir este butlletí amb els teus afins per a fomentar i difondre una cultura de la ciberseguretat i bones pràctiques en l’ús de les noves tecnologies.
Si tens alguna inquietud sobre ciberseguretat o necessitat de formació en esta àrea, visita els nostres webs. Trobaràs consells, cursos en línia, informes i més continguts: https://www.csirtcv.gva.es/ i https://concienciat.gva.es/ i seguix-nos en les nostres xarxes socials, Facebook (CSIRT-CV), X (@CSIRTCV) i YouTube (@csirt-cv6271).