平台
windows
组件
ni-labview
修复版本
23.0.0
23.3.9
24.3.6
25.3.4
26.1.1
CVE-2026-32860 是一个存在于 NI LabVIEW 中的内存损坏漏洞,源于加载损坏的 LVLIB 文件时出现的越界写入问题。 成功利用此漏洞可能导致敏感信息泄露或攻击者执行任意代码,对系统安全构成威胁。 此漏洞影响 NI LabVIEW 2026 Q1 (26.1.0) 及更早版本。 26.1.1 版本已发布修复。
在 National Instruments (NI) LabVIEW 中发现了一个内存破坏漏洞,编号为 CVE-2026-32860。当 LabVIEW 加载损坏的 LVLIB 文件时,会发生此漏洞,导致越界写入。此漏洞的 CVSS 评分是 7.8,表明存在重大风险。成功利用可能导致信息泄露或,更严重的是,任意代码执行。此漏洞影响 NI LabVIEW 2026 Q1 (26.1.0) 及更早版本。LabVIEW 用户应优先解决此漏洞,特别是那些处理来自不可信来源的 LVLIB 文件的用户。
利用此漏洞需要攻击者欺骗用户打开一个专门制作的 .lvlib 文件。此文件包含当 LabVIEW 处理这些数据时会触发越界写入的损坏数据。攻击者可以通过电子邮件、恶意网站或共享网络分发此文件。利用的容易程度取决于攻击者说服用户打开该文件的能力,这突出了安全意识和安全文件处理实践的重要性。
Organizations and individuals using NI LabVIEW for data acquisition, instrument control, and automation are at risk. Specifically, those using legacy versions (0.0.0–26.1.1) and those who routinely handle LVLIB files from external sources are particularly vulnerable. Shared lab environments or systems where multiple users have access to LabVIEW files are also at increased risk.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*LabVIEW*'}• windows / supply-chain:
Get-ScheduledTask | Where-Object {$_.Actions.Path -like '*LabVIEW*'}• windows / supply-chain:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='NI LabVIEW']]]'disclosure
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
建议的解决方案是将 NI LabVIEW 升级到版本 26.1.1 或更高版本。此版本包含必要的修复程序,以防止越界写入并降低利用风险。在此期间,作为预防措施,请避免从未知或不可信来源打开 LVLIB 文件。保持操作系统和其他应用程序最新也是减少攻击面至关重要的。NI 发布了详细的安全公告,其中包含具体的升级说明和额外的建议。
Actualice a NI LabVIEW versión 26.1.1 o posterior para mitigar la vulnerabilidad. La actualización corrige un error de escritura fuera de límites al cargar archivos lvlib corruptos, previniendo la posible divulgación de información o ejecución de código arbitrario. Descargue la actualización desde el sitio web de soporte de NI.
漏洞分析和关键警报直接发送到您的邮箱。
LVLIB 文件是 LabVIEW 库,包含可重用的代码,例如函数、控件和数据类型。它用于组织和共享 LabVIEW 程序的组件。
如果您使用的是 LabVIEW 2026 Q1 (26.1.0) 或更早版本,则很可能受到影响。请在“帮助”->“关于 LabVIEW”菜单中检查您的 LabVIEW 版本。
作为临时措施,请避免从不可信来源打开 LVLIB 文件。实施访问控制以限制谁可以在您的系统上打开 LVLIB 文件。
目前没有专门的工具来检测恶意 LVLIB 文件。请依赖于一般的安全实践,例如防病毒扫描和安全意识。
请参阅 NI 网站上的官方安全公告,以获取详细信息和更新:[Insert link to NI security advisory here]
CVSS 向量