平台
windows
组件
lenovo-diagnostics
修复版本
5.26.0
4.7.1.4
CVE-2026-0827 是 Lenovo Diagnostics 和 Lenovo Vantage 中 HardwareScanAddin 中发现的一个潜在漏洞,在安装或使用硬件扫描时,可能允许本地经过身份验证的用户以提升的权限执行任意文件写入。此漏洞的严重程度较高,可能导致系统被恶意控制。受影响的版本包括 0.0.0 到 5.26.0。该漏洞已在 5.26.0 版本中修复。
在 Lenovo Diagnostics 和 Lenovo Vantage 中使用的 HardwareScanAddin 中发现了一个安全漏洞 (CVE-2026-0827)。此漏洞允许本地经过身份验证的特权用户在安装过程中或使用硬件扫描功能时执行任意文件写入。这可能导致关键系统文件被修改或替换,从而可能损害数据的机密性和完整性。根据 CVSS,漏洞的严重程度评分为 7.1。需要注意的是,此漏洞需要本地身份验证,这意味着攻击者必须对系统具有合法访问权限才能利用此漏洞。缺少 KEV (知识增强向量) 表明有关此漏洞的信息有限,因此建议谨慎对待。
该漏洞发生在 Lenovo Diagnostics 的安装过程中或在 Lenovo Vantage 中执行硬件扫描功能时。具有特权权限的经过身份验证的用户可以操纵输入参数,以强制将数据写入文件系统中的任意位置。利用成功取决于攻击者绕过软件中实施的安全检查的能力。输入验证不足是此漏洞的根本原因。虽然需要身份验证,但特权升级的潜力使其成为系统管理员和最终用户的重大问题。
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
Lenovo 在 Lenovo Diagnostics 和 Lenovo Vantage 的 5.26.0 版本中发布了修复程序。强烈建议所有用户尽快更新到此版本,以降低被利用的风险。您可以从 Lenovo 支持网站或 Lenovo Vantage 下载更新。此外,请审查本地安全策略,以确保只有授权用户才能访问系统诊断工具。监控与 Lenovo Diagnostics 相关的系统日志中是否存在可疑活动也可以帮助检测和防止潜在攻击。应用安全补丁是维护系统安全的基本实践。
Actualice Lenovo Diagnostics a la versión 5.26.0 o posterior, o a la versión 4.7.1.4 o posterior. Descargue la actualización desde el sitio web de soporte de Lenovo o a través de Lenovo Vantage. Esta actualización corrige la vulnerabilidad de escritura de archivos arbitrarios.
漏洞分析和关键警报直接发送到您的邮箱。
Lenovo Vantage 是一款预装在许多 Lenovo 笔记本电脑上的应用程序,它提供用于系统配置、诊断和更新的工具。
您可以在应用程序或 Windows 更新历史记录中检查 Lenovo Vantage 和 Lenovo Diagnostics 的版本。
如果无法立即更新,请限制对 Lenovo Diagnostics 和 Lenovo Vantage 的访问权限,仅允许受信任的用户访问。
目前没有特定的检测工具可用。建议监控系统日志中是否存在可疑活动。
CVE-2026-0827 是 Common Vulnerabilities and Exposures (CVE) 列表为该漏洞分配的唯一标识符。
CVSS 向量