Escanear gratis
Análisis pendienteCVE-2026-27917

CVE-2026-27917: Privilegios Elevados en Windows WFP NDIS

Plataforma

windows

Componente

wfplwfs

Corregido en

10.0.28000.1836

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-27917 es un fallo de uso después de liberar (use-after-free) descubierto en el controlador WFP NDIS Lightweight Filter Driver (wfplwfs.sys) de Windows. Esta falla permite a un atacante con acceso autorizado elevar sus privilegios dentro del sistema. Afecta a sistemas Windows hasta la versión 10.0.28000.1836, y se ha solucionado en la versión 10.0.28000.1836.

Impacto y Escenarios de Ataque

Un atacante que explote esta vulnerabilidad podría obtener privilegios de administrador en el sistema afectado. Esto le permitiría instalar software, acceder a datos sensibles, modificar la configuración del sistema e incluso tomar el control total del equipo. El impacto es significativo, ya que la elevación de privilegios permite al atacante operar con los mismos permisos que un administrador local. Aunque la descripción no menciona un ataque específico, la naturaleza de la vulnerabilidad (use-after-free) sugiere que podría ser explotada mediante técnicas de corrupción de memoria, similar a otras vulnerabilidades de este tipo que han sido utilizadas en ataques sofisticados.

Contexto de Explotación

La vulnerabilidad CVE-2026-27917 fue publicada el 14 de abril de 2026. La probabilidad de explotación se considera media, dado que es una vulnerabilidad de uso después de liberar, un tipo de fallo que a menudo es explotable. No se han reportado campañas de explotación activas conocidas al momento de la publicación. La vulnerabilidad está listada en el NVD (National Vulnerability Database) y se espera que sea evaluada por CISA (Cybersecurity and Infrastructure Security Agency).

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetBaja

EPSS

0.04% (14% percentil)

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C7.0HIGHAttack VectorLocalCómo el atacante alcanza el objetivoAttack ComplexityHighCondiciones necesarias para explotarPrivileges RequiredLowNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeUnchangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Local — el atacante necesita sesión local o shell en el sistema.
Attack Complexity
Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
Privileges Required
Bajo — cualquier cuenta de usuario válida es suficiente.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Sin cambio — el impacto se limita al componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentewfplwfs
ProveedorMicrosoft
Versión máxima10.0.28000.1836
Corregido en10.0.28000.1836

Clasificación de Debilidad (CWE)

CWE-416

Cronología

  1. Publicada
  2. Modificada
  3. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para CVE-2026-27917 es actualizar a la versión de Windows que incluye la corrección, 10.0.28000.1836 o posterior. Si la actualización causa problemas de compatibilidad, se recomienda evaluar si existen parches específicos para el software que causa el conflicto. En ausencia de una actualización inmediata, no existen configuraciones o reglas de firewall que puedan mitigar directamente esta vulnerabilidad de bajo nivel. Después de la actualización, confirme que el controlador wfplwfs.sys ha sido actualizado a la versión corregida verificando la información del sistema.

Cómo corregirlotraduciendo…

Aplica las actualizaciones de seguridad proporcionadas por Microsoft para Windows 10. Estas actualizaciones corrigen la vulnerabilidad de uso después de liberar en el controlador WFP NDIS Lightweight Filter Driver, previniendo la posible elevación de privilegios.

Preguntas frecuentes

What is CVE-2026-27917 — privilege escalation in Windows WFP NDIS?

CVE-2026-27917 es una vulnerabilidad de uso después de liberar en el controlador WFP NDIS Lightweight Filter Driver de Windows que permite a un atacante con acceso autorizado elevar sus privilegios localmente, potencialmente obteniendo control administrativo.

Am I affected by CVE-2026-27917 in Windows WFP NDIS?

Si está utilizando una versión de Windows 10 anterior o igual a 10.0.28000.1836, es posible que esté afectado. Verifique la versión de su sistema operativo y aplique la actualización de seguridad correspondiente.

How do I fix CVE-2026-27917 in Windows WFP NDIS?

La solución es actualizar a la versión de Windows 10 que incluye la corrección, 10.0.28000.1836 o posterior. Asegúrese de probar la actualización en un entorno de prueba antes de implementarla en producción.

Is CVE-2026-27917 being actively exploited?

Actualmente no se han reportado campañas de explotación activas conocidas, pero la vulnerabilidad es de alta gravedad y podría ser explotada en el futuro.

Where can I find the official Microsoft advisory for CVE-2026-27917?

Consulte el sitio web de Microsoft Security Response Center (MSRC) para obtener información oficial sobre la vulnerabilidad y la actualización correspondiente. Busque CVE-2026-27917 en el catálogo de vulnerabilidades de Microsoft.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...