プラットフォーム
c
コンポーネント
mgcore
修正版
23.0.0
23.3.9
24.3.6
25.3.4
26.1.1
CVE-2026-32864 describes a memory corruption vulnerability discovered in NI LabVIEW, stemming from an out-of-bounds read within the mgcoreSH253!alignedfree() function. Successful exploitation could allow an attacker to achieve information disclosure or even arbitrary code execution. This vulnerability impacts NI LabVIEW versions 0 through 26.1.1, and a fix is available in version 26.1.1.
NI LabVIEW (CVE-2026-32864) において、mgcoreSH253!alignedfree() 関数における境界外読み込みにより、メモリ破壊の脆弱性が確認されました。この脆弱性は、情報漏洩や、最悪の場合、任意のコード実行につながる可能性があります。CVSSスコアは7.8であり、重大なリスクを示しています。この脆弱性は、NI LabVIEW 2026 Q1 (26.1.0) 以前のバージョンに影響します。 攻撃者が特別に細工されたVIファイルを開くようにユーザーをだますことで、脆弱性を悪用できます。これにより、攻撃者が機密性の高いシステムデータにアクセスしたり、影響を受けたシステムを制御したりする可能性があります。
この脆弱性は、悪意のある VI (Virtual Instrument) ファイルを開くことでトリガーされます。VIファイルは、aligned_free() 関数内の脆弱性を悪用するように設計されています。攻撃者は、ソーシャルエンジニアリングまたは侵害されたチャネルを通じてファイルを配布するなど、ユーザーにこのファイルを開くように説得する必要があります。ファイルが開かれると、境界外読み込みの脆弱性がトリガーされ、攻撃者がメモリからデータを読み取ったり、悪意のあるコードを実行したりする可能性があります。脆弱性の悪用は比較的容易であり、悪意のある VI ファイルの実行のみが必要です。
Organizations heavily reliant on NI LabVIEW for data acquisition, test automation, and industrial control systems are particularly at risk. Users who routinely handle VI files from untrusted sources, or those running legacy LabVIEW installations without robust security controls, face a heightened threat. Shared hosting environments where multiple users access the same LabVIEW installation are also vulnerable.
• c/platform: Monitor NI LabVIEW processes for unusual memory access patterns using debugging tools or memory analysis software. • generic web: Examine NI LabVIEW application logs for errors related to file parsing or memory allocation during VI file execution. • generic web: Implement file integrity monitoring on critical NI LabVIEW installation directories to detect unauthorized modifications.
disclosure
エクスプロイト状況
EPSS
0.02% (4% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性に対する解決策は、NI LabVIEW バージョン 26.1.1 以降にアップデートすることです。National Instruments は、このアップデートをリリースして境界外読み込みの問題を修正しました。NI LabVIEW 2026 Q1 (26.1.0) 以前のバージョンのすべてのユーザーが、できるだけ早くアップデートを適用することを強くお勧めします。さらに、信頼できないまたは不明なソースからの VI ファイルを開く際には注意してください。悪意のあるコードが含まれている可能性があります。システムを疑わしいアクティビティについて定期的に監視することも、優れたセキュリティプラクティスです。
Actualice a NI LabVIEW 2026 Q1 (26.1.1) o posterior para mitigar esta vulnerabilidad. La actualización corrige la lectura fuera de límites en la función aligned_free(). Consulte la página de seguridad de NI para obtener más detalles e instrucciones de instalación.
脆弱性分析と重要アラートをメールでお届けします。
VIファイル (Virtual Instrument) は、NI LabVIEW がプログラムと構成を保存するために使用する主要なファイル形式です。
LabVIEW 2026 Q1 (26.1.0) またはそれ以前のバージョンを使用している場合は、影響を受けている可能性があります。 'ヘルプ' -> 'LabVIEW について' メニューで LabVIEW のバージョンを確認してください。
すぐにアップデートできない場合は、不明なソースからの VI ファイルを開く際に細心の注意を払ってください。
CVSSスコア7.8は、高いリスクを示しています。これは、脆弱性が悪用可能であり、システムの機密性、完全性、または可用性に重大な影響を与える可能性があることを意味します。
NI LabVIEW バージョン 26.1.1 以降のアップデートは、National Instruments のサポートウェブサイトからダウンロードできます: [https://www.ni.com/en-us/support/downloads/software-updates.html](https://www.ni.com/en-us/support/downloads/software-updates.html)
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。