新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
Microsoft 修補 Windows Admin Center 高風險漏洞 CVE-2026-26119,CVSS 達 8.8 分
2026 / 02 / 24
編輯部
Microsoft 於 2026 年 2 月 17 日發布資安公告,揭露 Windows Admin Center 存在一項高風險權限提升漏洞。該漏洞編號為
CVE-2026-26119
,CVSS 評分高達 8.8 分(滿分 10 分),並被標記為「更可能被利用」(Exploitation More Likely)等級。雖然 Microsoft 已於 2025 年 12 月釋出修補程式,但鑑於漏洞的嚴重性與潛在影響,尚未更新的企業應立即採取行動。
漏洞概述與影響範圍
Windows Admin Center(WAC)是 Microsoft 提供的本地部署瀏覽器管理工具,讓 IT 管理人員無需連接雲端即可管理 Windows 用戶端、伺服器、叢集、Hyper-V 主機與虛擬機器,以及加入 Active Directory 的系統。由於 WAC 作為集中式管理工具的角色,一旦遭到入侵將對企業基礎架構造成重大威脅。
根據 Microsoft 公告,CVE-2026-26119 源於 Windows Admin Center 的不當驗證(Improper Authentication)問題。成功利用此漏洞的攻擊者可透過網路提升權限,取得執行受影響應用程式的使用者權限。
該漏洞由資安公司 Semperis 研究員 Andrea Pierini 於 2025 年 7 月發現並通報。Pierini 在 LinkedIn 貼文中警告,在特定條件下,此漏洞可能讓攻擊者從標準使用者權限出發,達成整個網域的全面入侵。
技術特性與風險評估
根據 CVSS 評分分析,CVE-2026-26119 具備以下技術特性:可透過網路遠端利用、攻擊複雜度低、無需使用者互動,且僅需最低權限(攻擊者需擁有有效的低階存取憑證)即可觸發。這些特性使得該漏洞具有高度的可利用性。
Microsoft 將此漏洞標記為「更可能被利用」,理由包括攻擊者可能開發出可靠的利用程式碼,以及類似漏洞在過去曾被實際攻擊所針對。Microsoft 建議已評估安全更新適用性的客戶應將此漏洞列為較高優先處理等級。
目前 CVE-2026-26119 的技術細節尚未公開,但這種情況可能很快改變。資安專家警告,隨著漏洞資訊逐漸曝光,攻擊者可能透過分析修補程式反推漏洞成因並開發利用程式。
修補資訊與企業建議
Microsoft 已於 2025 年 12 月釋出的 Windows Admin Center 版本 2511 中修補此漏洞。企業 IT 團隊應立即執行以下步驟確認修補狀態:
檢查目前部署的 Windows Admin Center 版本
、
確認是否已升級至版本 2511 或更新版本
、若尚未更新應立即規劃升級作業,以及
檢視 WAC 存取日誌是否有異常活動
。
雖然 Microsoft 目前未發現此漏洞遭到實際利用的跡象,但考量其高風險評分與「更可能被利用」的評估,企業不應輕忽。特別是將 WAC 部署於關鍵基礎架構環境的組織,更應將此漏洞列為優先處理項目。
資安專家建議,在攻擊者鎖定此漏洞並開發利用程式之前,企業應把握時間窗口完成更新,以降低遭受攻擊的風險。
WAC
不當驗證漏洞
最新活動
2026.07.22
2026 政府資安論壇
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
超越人類監督:前沿 AI 時代的新挑戰與應對
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
Jamf 推出 Mac 原生的 AI 治理解決方案
Sophos 與 Rubrik 攜手推出由 Rubrik Cyber Resilience 技術支援的 Microsoft 365 備份與復原服務
從Root權限淪陷到弱密碼橫行 資安院揭露網通設備四大資安痛點
資安人科技網
文章推薦
代理式AI席捲企業系統,機器身分數量暴增,台灣資安主管準備好了嗎?
風險驅動治理:ISO 27005如何協助台灣A級機關與金融業資安合規
Cisco Connect 台北2026聚焦代理式 AI 創新,賦能台灣 AI 轉型