CVE-2026-23988

ALT (7,3)

CVSS3: 0,0

Rufus és una utilitat que ajuda a formatar i crear unitats flash USB d’arrencada. Les versions 4.11 i anteriors contenen una situació de competició (TOCTOU) a src/net.c durant la creació, validació i execució de l’script Fido PowerShell. Com que Rufus s’executa amb privilegis elevats (administrador) però escriu l’script al directori %TEMP% (escrivible pels usuaris estàndard) sense bloquejar el fitxer, un atacant local pot substituir l’script legítim per un de maliciós entre l’operació d’escriptura del fitxer i el pas d’execució. Això permet l’execució arbitrària de codi amb privilegis d’administrador. Aquest problema s’ha corregit a la versió 4.12_BETA.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• pbatard rufus < 4.12_BETA

Remediació
No hi ha cap recurs disponible a partir del 22 de gener del 2026. Vegeu-ne les Referències.

Referències

• https://github.com/pbatard/rufus/security/advisories/GHSA-hcx5-hrhj-xhq9
• https://github.com/pbatard/rufus/commit/460cc5768aa45be07941b9e4ebc9bee02d282873
• https://github.com/pbatard/rufus/releases/tag/v4.12_BETA
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2026/23xxx/CVE-2026-23988.json