プラットフォーム
windows
コンポーネント
ni-labview
修正版
23.0.0
23.3.9
24.3.6
25.3.4
26.1.1
CVE-2026-32860 describes a memory corruption vulnerability affecting NI LabVIEW. This flaw stems from an out-of-bounds write triggered when a corrupted LVLIB file is loaded, potentially allowing an attacker to achieve information disclosure or even arbitrary code execution. The vulnerability impacts versions 0.0.0 through 26.1.1 of NI LabVIEW, and a patch is available in version 26.1.1.
National Instruments (NI) LabVIEWにおいて、メモリ破壊の脆弱性が特定されました。これはCVE-2026-32860として追跡されています。この脆弱性は、LabVIEWが破損したLVLIBファイルを読み込む際に発生し、境界外への書き込みを引き起こします。この脆弱性のCVSSスコアは7.8であり、重大なリスクを示しています。悪用が成功すると、情報漏洩や、より深刻な場合には、任意のコード実行につながる可能性があります。この脆弱性は、NI LabVIEW 2026 Q1 (26.1.0)およびそれ以前のバージョンに影響を与えます。LabVIEWユーザーは、この脆弱性を解決することを優先し、特に信頼できないソースからのLVLIBファイルを扱うユーザーは注意が必要です。
この脆弱性の悪用には、攻撃者がユーザーを騙して、特別に作成された.lvlibファイルを開かせる必要があります。このファイルには、LabVIEWによって処理されると境界外への書き込みをトリガーする破損したデータが含まれています。攻撃者は、このファイルを電子メール、悪意のあるWebサイト、または共有ネットワークを介して配布する可能性があります。悪用の容易さは、攻撃者がユーザーにファイルを開かせることができるかどうかに依存するため、セキュリティ意識と安全なファイル取り扱い手順の重要性が強調されます。
Organizations and individuals using NI LabVIEW for data acquisition, instrument control, and automation are at risk. Specifically, those using legacy versions (0.0.0–26.1.1) and those who routinely handle LVLIB files from external sources are particularly vulnerable. Shared lab environments or systems where multiple users have access to LabVIEW files are also at increased risk.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*LabVIEW*'}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Actions.Path -like '*LabVIEW*'}• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='NI LabVIEW']]]'disclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
推奨される解決策は、NI LabVIEWをバージョン26.1.1以降にアップグレードすることです。このバージョンには、境界外への書き込みを防止し、悪用のリスクを軽減するために必要な修正が含まれています。その間、予防措置として、不明なソースまたは信頼できないソースからのLVLIBファイルを開かないでください。攻撃対象領域を減らすために、オペレーティングシステムおよびその他のアプリケーションを最新の状態に保つことも重要です。NIは、詳細なセキュリティアドバイザリを公開しており、具体的なアップグレード手順と追加の推奨事項が含まれています。
Actualice a NI LabVIEW versión 26.1.1 o posterior para mitigar la vulnerabilidad. La actualización corrige un error de escritura fuera de límites al cargar archivos lvlib corruptos, previniendo la posible divulgación de información o ejecución de código arbitrario. Descargue la actualización desde el sitio web de soporte de NI.
脆弱性分析と重要アラートをメールでお届けします。
LVLIBファイルは、関数、コントロール、データ型などの再利用可能なコードを含むLabVIEWライブラリです。LabVIEWプログラムのコンポーネントを整理および共有するために使用されます。
LabVIEW 2026 Q1 (26.1.0)またはそれ以前のバージョンを使用している場合は、影響を受けている可能性が高いです。「ヘルプ」->「LabVIEWについて」メニューでLabVIEWのバージョンを確認してください。
一時的な対策として、信頼できないソースからのLVLIBファイルを開かないでください。システム上のLVLIBファイルを開くことができる人を制限するためにアクセス制御を実装してください。
現在、悪意のあるLVLIBファイルを検出するための特定のツールはありません。ウイルス対策スキャンやセキュリティ意識などの一般的なセキュリティプラクティスに依存してください。
詳細な情報と最新情報については、NIのWebサイトで公式のセキュリティアドバイザリを参照してください: [Insert link to NI security advisory here]
CVSS ベクトル