プラットフォーム
windows
コンポーネント
ni-labview
修正版
23.0.0
23.3.9
24.3.6
25.3.4
26.1.1
CVE-2026-32861 describes a memory corruption vulnerability discovered in NI LabVIEW. This flaw stems from an out-of-bounds write condition triggered when the application processes a corrupted LVCLASS file. Successful exploitation could lead to information disclosure or even arbitrary code execution, impacting users of NI LabVIEW versions 0.0.0 through 26.1.1. A patch is available in version 26.1.1.
National Instruments (NI) LabVIEWにおいて、破損したLVCLASSファイルを読み込む際に、境界外への書き込みが発生するメモリ破壊の脆弱性が特定されました。この脆弱性はCVE-2026-32861としてカタログ化されており、CVSSスコアは7.8と、高いリスクを示しています。悪用が成功すると、機密情報の漏洩や、最悪の場合、任意のコードの実行につながる可能性があります。この脆弱性は、LabVIEW 2026 Q1(バージョン26.1.0)およびそれ以前のバージョンに影響を与えます。LabVIEWユーザーは、自身の脆弱性を評価し、このリスクを軽減するために必要な是正措置を講じることが重要です。メモリ破壊の性質上、影響は予測不可能であり、潜在的に深刻になる可能性があります。
この脆弱性の悪用には、攻撃者がユーザーを騙して、特別に作成された.lvclassファイルを開かせる必要があります。このファイルには、LabVIEWによって読み込まれると境界外への書き込みをトリガーし、メモリ破壊につながる悪意のあるデータが含まれています。攻撃ベクトルはユーザーとのインタラクションであり、つまり攻撃者はユーザーを騙して悪意のあるファイルを実行できる必要があります。このタイプの攻撃は、ユーザーが検証されていないソースからファイルをダウンロードしたり、疑わしい電子メールの添付ファイルを開いたりするシナリオでよく見られます。ユーザー入力の検証の欠如は、このタイプの脆弱性の一般的な原因です。
Organizations and individuals heavily reliant on NI LabVIEW for data acquisition, instrument control, and automation are at risk. This includes researchers, engineers, and technicians working in fields such as scientific research, industrial automation, and test and measurement. Legacy LabVIEW deployments and systems with limited patching capabilities are particularly vulnerable.
• windows / supply-chain:
Get-Process -Name "LabVIEW" | Select-Object -ExpandProperty Path• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.TaskName -like "*LabVIEW*"}• windows / supply-chain:
reg query "HKLM\SOFTWARE\National Instruments\LabVIEW" /v Versiondisclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
この脆弱性の解決策は、NI LabVIEWのバージョン26.1.1以降にアップデートすることです。National Instrumentsは、境界外への書き込みの問題を直接解決するためにこのアップデートをリリースしました。ユーザーは、できるだけ早くアップデートをダウンロードしてインストールすることを強く推奨します。さらに、予防措置として、信頼できないまたは不明なソースからのLVCLASSファイルを開かないことをお勧めします。セキュリティパッチの適用は、システムセキュリティを維持し、潜在的な攻撃から保護するための基本的なプラクティスです。NIのダウンロードの整合性を確認して、アップデートが本物であることを確認してください。
Actualice a NI LabVIEW versión 26.1.1 o posterior para mitigar la vulnerabilidad. La actualización corrige un error de escritura fuera de límites al procesar archivos LVCLASS corruptos, previniendo la posible divulgación de información o ejecución de código arbitrario. Descargue la actualización desde el sitio web de soporte de NI.
脆弱性分析と重要アラートをメールでお届けします。
LVCLASSファイルは、LabVIEWで使用されるクラスファイルで、カスタムデータ型とオブジェクト構造を定義します。
LabVIEW 2026 Q1(26.1.0)またはそれ以前のバージョンを使用している場合は、影響を受けている可能性が高いです。ヘルプメニューでLabVIEWのバージョンを確認してください。
National Instruments (NI)サポートウェブサイトから、バージョン26.1.1以降のアップデートをダウンロードできます。
システムをネットワークから切断し、最新のアンチウイルスソフトウェアで完全なシステムスキャンを実行し、NIサポートに連絡してください。
信頼できないソースからのLVCLASSファイルを開かないでください。アンチウイルスソフトウェアを最新の状態に保ち、NIのセキュリティアラートを定期的に確認してください。
CVSS ベクトル