Escanear gratis
Análisis pendienteCVE-2026-27929

CVE-2026-27929: Privileges Escalation in Windows LUAFV

Plataforma

windows

Componente

windows-luafv-filter-driver

Corregido en

10.0.28000.1836

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-27929 es una condición de carrera Time-of-check time-of-use (TOCTOU) presente en el controlador LUAFV (Lua Filter Driver) de Windows. Esta condición permite a un atacante con privilegios autorizados explotar la vulnerabilidad para elevar sus privilegios localmente, obteniendo acceso no autorizado a recursos del sistema. La vulnerabilidad afecta a versiones de Windows 10 entre 10.0.14393.0 y 10.0.28000.1836, siendo resuelta en la versión 10.0.28000.1836.

Impacto y Escenarios de Ataque

Un atacante que explote con éxito esta vulnerabilidad podría obtener privilegios de SYSTEM, lo que le permitiría tomar el control total del sistema afectado. Esto implica la capacidad de instalar software, acceder a datos confidenciales, modificar la configuración del sistema y crear nuevas cuentas de usuario con privilegios elevados. El impacto es significativo, ya que la escalada de privilegios permite a un atacante comprometer la integridad y confidencialidad de los datos almacenados en el sistema. Aunque la explotación requiere privilegios autorizados iniciales, la consecución de privilegios de SYSTEM anula esta restricción, permitiendo un control completo sobre el sistema. No se han reportado explotaciones públicas activas, pero la naturaleza de la vulnerabilidad TOCTOU la hace susceptible a ataques sofisticados.

Contexto de Explotación

CVE-2026-27929 ha sido publicado el 14 de abril de 2026. La vulnerabilidad se clasifica como de alta severidad (CVSS 7.0). Actualmente, no se ha identificado una puntuación EPSS, pero la naturaleza de la vulnerabilidad TOCTOU sugiere una probabilidad de explotación moderada a alta, especialmente si se desarrolla un Proof of Concept (POC) público. No se han reportado campañas de explotación activas en la actualidad, pero se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetBaja

EPSS

0.04% (12% percentil)

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C7.0HIGHAttack VectorLocalCómo el atacante alcanza el objetivoAttack ComplexityHighCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Local — el atacante necesita sesión local o shell en el sistema.
Attack Complexity
Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentewindows-luafv-filter-driver
ProveedorMicrosoft
Versión mínima10.0.14393.0
Versión máxima10.0.28000.1836
Corregido en10.0.28000.1836

Clasificación de Debilidad (CWE)

CWE-367

Cronología

  1. Publicada
  2. Modificada
  3. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para CVE-2026-27929 es actualizar a la versión de Windows que incluye la corrección, 10.0.28000.1836. Si la actualización inmediata no es posible, se recomienda revisar las configuraciones de seguridad del sistema para limitar los privilegios de los usuarios y las aplicaciones. Implementar el principio de mínimo privilegio puede reducir el impacto de una posible explotación. Aunque no existe una solución de mitigación a través de WAF o proxy, se recomienda monitorear los registros del sistema en busca de patrones de actividad sospechosa que puedan indicar un intento de explotación. Después de la actualización, confirme que el controlador LUAFV se ha actualizado correctamente revisando la versión del controlador en el Administrador de dispositivos.

Cómo corregirlotraduciendo…

Aplica las actualizaciones de seguridad proporcionadas por Microsoft para Windows 10. Estas actualizaciones corrigen una vulnerabilidad de elevación de privilegios en el controlador de virtualización de filtro LUAFV, mitigando el riesgo de que un atacante autorizado pueda obtener privilegios elevados localmente.

Preguntas frecuentes

What is CVE-2026-27929 — Privileges Escalation in Windows LUAFV?

CVE-2026-27929 es una vulnerabilidad TOCTOU en el controlador LUAFV de Windows que permite la elevación de privilegios local. Un atacante puede explotarla para obtener acceso de SYSTEM.

Am I affected by CVE-2026-27929 in Windows LUAFV?

Si está utilizando Windows 10 en las versiones entre 10.0.14393.0 y 10.0.28000.1836, es posible que esté afectado. Verifique la versión de su sistema.

How do I fix CVE-2026-27929 in Windows LUAFV?

La solución es actualizar a Windows 10 versión 10.0.28000.1836 o posterior. Si no es posible, implemente el principio de mínimo privilegio.

Is CVE-2026-27929 being actively exploited?

Actualmente no se han reportado explotaciones activas, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

Where can I find the official Windows advisory for CVE-2026-27929?

Consulte el sitio web de Microsoft Security Update Guide para obtener información oficial sobre la vulnerabilidad y el parche correspondiente.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...