HIGHCVE-2026-4134CVSS 7.3

在内部安全评估期间，在联想软件修复中发现潜在漏洞，在安装过程中可能允许本地已认证用户以提升的权限执行代码。

平台

windows

组件

lenovo-software-fix

修复版本

7.5.5.19

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-4134 是 Lenovo Software Fix 中发现的一个潜在漏洞，在安装过程中可能允许本地经过身份验证的用户以提升的权限执行代码。此漏洞的严重程度较高，可能导致系统被恶意控制。受影响的版本包括 0.0.0 到 7.5.5.19。该漏洞已在 7.5.5.19 版本中修复。

影响与攻击场景

在联想软件修复中发现了一个安全漏洞（CVE-2026-4134）。在安装过程中，本地经过身份验证的用户可能能够以提升的权限执行代码。这可能允许攻击者获得对系统的控制权，访问敏感数据或执行未经授权的操作。该漏洞的CVSS评分为7.3，表明存在中等程度的风险。为了减轻这种风险，必须应用提供的安全更新。成功利用此漏洞可能对受影响系统的机密性、完整性和可用性产生重大影响。我们强烈建议用户尽快更新其软件，以防止潜在攻击。

利用背景

此漏洞要求本地经过身份验证的用户在软件修复安装过程中访问系统。攻击者可能利用安装代码中的缺陷来执行具有提升权限的恶意代码。攻击向量是本地的，这意味着攻击者必须具有物理或远程访问权限。除了启动安装过程之外，不需要用户交互。利用的复杂性被认为是低的，因为不需要任何特殊技能或工具。此漏洞不可远程利用。我们建议检查系统日志中是否存在与软件修复安装相关的可疑活动。

哪些人处于风险中翻译中…

Organizations utilizing Lenovo Software Fix in environments where local user accounts have elevated privileges are at increased risk. This includes systems with shared administrative accounts, legacy configurations with overly permissive user rights, and environments where physical access to machines is not strictly controlled. Systems deployed in unattended or automated installation scenarios are also particularly vulnerable.

检测步骤翻译中…

• windows / supply-chain:

Get-Process -Name LenovoSoftwareFix | Select-Object -ExpandProperty Path

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*LenovoSoftwareFix*'} | Select-Object TaskName, State

• windows / supply-chain:

Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='Microsoft-Windows-Security-Auditing']]] and [EventID=4688] and [Data[@Name='TargetUserName']='SYSTEM']" -MaxEvents 10

攻击时间线

2026-04-15Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.01% (3% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件lenovo-software-fix

供应商Lenovo

影响范围修复版本

0.0.0 – 7.5.5.187.5.5.19

弱点分类 (CWE)

CWE-427

时间线

已保留2026-03-13
发布日期2026-04-15
EPSS 更新日期2026-04-23

缓解措施和替代方案

此漏洞的解决方案是将软件修复更新到版本7.5.5.19或更高版本。联想已发布此更新以解决根本问题。我们建议通过联想更新实用程序或联想支持网站应用更新。在应用更新之前，建议备份重要数据。更新的安装过程很简单，不应严重干扰正常操作。安装后，建议重新启动系统以确保所有更改都已正确应用。如果您有任何疑问或需要帮助，请联系联想技术支持。

修复方法翻译中…

Actualice Lenovo Software Fix a la versión 7.5.5.19 o posterior para mitigar la vulnerabilidad.  Descargue la actualización desde el sitio web de soporte de Lenovo o a través de Lenovo Vantage.  Asegúrese de que el software esté actualizado para evitar la ejecución de código no autorizado con privilegios elevados.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-4134 是什么 — Lenovo Software Fix 中的漏洞？

这是联想软件修复中发现的安全漏洞的唯一标识符。

Lenovo Software Fix 中的 CVE-2026-4134 是否会影响我？

这是一个指示漏洞严重程度的分数。7.3表示中等程度的风险。

如何修复 Lenovo Software Fix 中的 CVE-2026-4134？

您可以使用联想更新实用程序或联想支持网站将软件修复更新到版本7.5.5.19或更高版本。

CVE-2026-4134 是否正在被积极利用？

是的，在应用任何软件更新之前，建议备份您的重要数据。

在哪里可以找到 Lenovo Software Fix 关于 CVE-2026-4134 的官方安全通告？

它会影响使用联想软件修复且未更新到版本7.5.5.19或更高版本的系统。

在内部安全评估期间，在联想软件修复中发现潜在漏洞，在安装过程中可能允许本地已认证用户以提升的权限执行代码。

影响与攻击场景

利用背景

哪些人处于风险中翻译中…

检测步骤翻译中…

攻击时间线

威胁情报

受影响的软件

弱点分类 (CWE)

时间线

缓解措施和替代方案

修复方法翻译中…

CVE 安全通讯

常见问题

CVE-2026-4134 是什么 — Lenovo Software Fix 中的漏洞？

Lenovo Software Fix 中的 CVE-2026-4134 是否会影响我？

如何修复 Lenovo Software Fix 中的 CVE-2026-4134？

CVE-2026-4134 是否正在被积极利用？

在哪里可以找到 Lenovo Software Fix 关于 CVE-2026-4134 的官方安全通告？

你的项目受影响吗?