内部セキュリティ評価中に、Lenovo Software Fix に潜在的な脆弱性が発見され、ローカル認証済みユーザーが特権昇格と共に任意のコードを実行できる可能性があります。

Lenovo Software Fixにおいて、潜在的な脆弱性（CVE-2026-4145）が発見されました。この脆弱性はCVSSスコア7.8で、ローカル認証済みユーザーが特権昇格された状態で任意のコードを実行できる可能性があります。これは、システムにアクセスできる攻撃者が、デバイスの制御を奪ったり、機密データにアクセスしたりする可能性があることを意味します。この脆弱性は、中程度から高いリスクと見なされており、リスクを軽減するために提供されているセキュリティアップデートを適用することが重要です。影響を受けるSoftware Fixのバージョンには、7.5.5.19より前のバージョンが含まれます。この脆弱性にはKEV（Kernel Exploit Visibility）は関連付けられていません。これは、現時点ではカーネルでパブリックなエクスプロイト活動が検出されていないことを示しています。ただし、ローカルエクスプロイトの可能性は存在し、対処する必要があります。

Systems administrators and IT professionals responsible for managing Lenovo Software Fix installations are at risk. This includes organizations utilizing Lenovo Software Fix for system management, automation, or other critical tasks. Environments with weak authentication practices or shared user accounts are particularly vulnerable.

• linux / server:

journalctl -g "Lenovo Software Fix" | grep -i "error"

• linux / server:

ps aux | grep "Lenovo Software Fix"

• linux / server:

find / -name "LenovoSoftwareFix*" -type f

1. 2026-04-15Disclosure

   disclosure

1. 予約済み2026-03-13
2. 公開日2026-04-15
3. EPSS 更新日2026-04-23

この脆弱性に対処するための解決策は、Lenovo Software Fixをバージョン7.5.5.19以降に更新することです。Lenovoは、この問題を修正するためのセキュリティアップデートをリリースしています。影響を受けるすべてのユーザーは、できるだけ早くこのアップデートをインストールすることを強くお勧めします。システムが更新されているかどうかを確認するには、Lenovo Support SiteまたはLenovo Vantageアプリケーションを参照してください。さらに、ローカルユーザーアカウントに強力なパスワードを設定し、アクセス制御ポリシーを実装して、成功したエクスプロイトの潜在的な影響を制限するようにしてください。システムログを不審なアクティビティがないか監視することも、潜在的な攻撃を検出し、対応するのに役立ちます。