Microsoft ha revelado una vulnerabilidad de escalada de privilegios en Windows Admin Center (WAC), una plataforma basada en navegador ampliamente utilizada por administradores de TI y equipos de infraestructura para gestionar clientes, servidores, clústeres, hosts Hyper-V y máquinas virtuales de Windows, así como sistemas unidos a Active Directory.
Aunque el problema se solucionó a principios de diciembre de 2025 con el lanzamiento de la versión 2511 de Windows Admin Center, recién ahora se reconoció públicamente.
La demora en la divulgación probablemente refleja tanto la naturaleza de la falla, su gravedad y la sensibilidad operativa de WAC como herramienta de gestión centralizada.
Acerca de CVE-2026-26119
CVE-2026-26119 se deriva de una autenticación incorrecta y fue descubierta por Adrea Pierini, consultora de seguridad de Semperis, en julio de 2025
Los detalles técnicos aún no se conocen, pero el puntaje CVSS de la vulnerabilidad indica que puede explotarse de forma remota con poco esfuerzo, sin interacción del usuario y privilegios mínimos (bajos) (es decir, el atacante ya debe poseer credenciales de acceso válidas de bajo nivel).
Según Microsoft, un atacante que explote con éxito CVE-2026-26119 “obtendría los derechos del usuario que ejecuta la aplicación afectada”.
Pierini señaló que “bajo ciertas condiciones, este problema podría permitir una vulneración total del dominio a partir de un usuario estándar”.
Microsoft considera que la explotación de la falla es “más probable”, debido a que su análisis indica que los atacantes podrían desarrollar un código de explotación confiable y debido al hecho de que vulnerabilidades similares han sido históricamente el objetivo de ataques en el mundo real.
“Por lo tanto, los clientes que han revisado la actualización de seguridad y han determinado su aplicabilidad dentro de su entorno deben tratarla con mayor prioridad”, aconseja la compañía.
Con suerte, la mayoría ya se habrá actualizado a la versión corregida. Quienes aún no lo hayan hecho deberían hacerlo de inmediato, antes de que los atacantes localicen el parche y el origen de la falla, y desarrollen un exploit.
Fuente y redacción: helpnetsecurity.com
