Plataforma
windows
Componente
ni-labview
Corrigido em
23.0.0
23.3.9
24.3.6
25.3.4
26.1.1
CVE-2026-32860 describes a memory corruption vulnerability affecting NI LabVIEW. This flaw stems from an out-of-bounds write triggered when a corrupted LVLIB file is loaded, potentially allowing an attacker to achieve information disclosure or even arbitrary code execution. The vulnerability impacts versions 0.0.0 through 26.1.1 of NI LabVIEW, and a patch is available in version 26.1.1.
Uma vulnerabilidade de corrupção de memória foi identificada no National Instruments (NI) LabVIEW, catalogada como CVE-2026-32860. Esta vulnerabilidade ocorre quando o LabVIEW carrega um arquivo LVLIB corrompido, levando a uma escrita fora dos limites. A pontuação CVSS para esta vulnerabilidade é 7.8, indicando um risco significativo. A exploração bem-sucedida pode resultar em divulgação de informações ou, criticamente, execução de código arbitrário. Esta vulnerabilidade afeta o NI LabVIEW 2026 Q1 (26.1.0) e versões anteriores. Os usuários do LabVIEW devem priorizar a resolução desta vulnerabilidade, especialmente aqueles que lidam com arquivos LVLIB de fontes não confiáveis.
A exploração desta vulnerabilidade requer que um atacante engane um usuário para abrir um arquivo .lvlib especialmente criado. Este arquivo contém dados corrompidos que, quando processados pelo LabVIEW, acionam a escrita fora dos limites. Os atacantes podem distribuir este arquivo por e-mail, sites maliciosos ou redes compartilhadas. A facilidade de exploração depende da capacidade do atacante de persuadir o usuário a abrir o arquivo, destacando a importância da conscientização sobre segurança e práticas seguras de manuseio de arquivos.
Organizations and individuals using NI LabVIEW for data acquisition, instrument control, and automation are at risk. Specifically, those using legacy versions (0.0.0–26.1.1) and those who routinely handle LVLIB files from external sources are particularly vulnerable. Shared lab environments or systems where multiple users have access to LabVIEW files are also at increased risk.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*LabVIEW*'}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Actions.Path -like '*LabVIEW*'}• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='NI LabVIEW']]]'disclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 26.1.1 ou posterior do NI LabVIEW. Esta versão inclui as correções necessárias para evitar a escrita fora dos limites e mitigar o risco de exploração. Enquanto isso, como medida preventiva, evite abrir arquivos LVLIB de fontes desconhecidas ou não confiáveis. Manter um sistema operacional e outros aplicativos atualizados também é crucial para reduzir a superfície de ataque. A NI publicou um aviso de segurança detalhado com instruções específicas de atualização e recomendações adicionais.
Actualice a NI LabVIEW versión 26.1.1 o posterior para mitigar la vulnerabilidad. La actualización corrige un error de escritura fuera de límites al cargar archivos lvlib corruptos, previniendo la posible divulgación de información o ejecución de código arbitrario. Descargue la actualización desde el sitio web de soporte de NI.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um arquivo LVLIB é uma biblioteca LabVIEW que contém código reutilizável, como funções, controles e tipos de dados. É usado para organizar e compartilhar componentes de programas LabVIEW.
Se você estiver usando o LabVIEW 2026 Q1 (26.1.0) ou uma versão anterior, provavelmente estará afetado. Verifique sua versão do LabVIEW no menu 'Ajuda' -> 'Sobre o LabVIEW'.
Como medida temporária, evite abrir arquivos LVLIB de fontes não confiáveis. Implemente controles de acesso para restringir quem pode abrir arquivos LVLIB em seu sistema.
Atualmente, não existem ferramentas específicas para detectar arquivos LVLIB maliciosos. Confie em práticas gerais de segurança, como verificação antivírus e conscientização sobre segurança.
Consulte o aviso de segurança oficial da NI em seu site para obter informações detalhadas e atualizações: [Insert link to NI security advisory here]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.