漏洞总结:ZI-SA-2026-001 漏洞概述 漏洞名称:LabOne 用户界面中的路径遍历漏洞 (Path Traversal Vulnerability) 漏洞编号:ZI-SA-2026-001 CVSS 评分:v3.1 基础评分 7.5 (高);v4.0 基础评分 8.7 (高) 漏洞描述:LabOne Web Server 在文件访问功能中存在输入验证不足。未授权攻击者可利用此漏洞读取主机系统上操作系统用户可访问的任意文件。此外,Web Server 未充分限制跨域请求,可能导致远程攻击者通过浏览器触发文件访问。 利用条件:仅在 LabOne Web Server 运行时可利用。仅使用 LabOne API 而未启动 Web Server 的安装不受影响。 影响范围 受影响产品:LabOne 受影响版本:所有早于 26.01.3.9 的版本。 攻击向量: 1. 同网络攻击者:直接连接到 LabOne Web Server 的攻击者。 2. 恶意网站攻击者:用户在使用 LabOne Web Server 时访问不受信任的网站,从而触发漏洞。 修复方案 推荐修复:升级至 LabOne 26.01.3.9 或更高版本。 升级方式:可通过 LabOne 软件直接更新,或从 Zurich Instruments 下载中心下载。 临时缓解措施 (Workarounds and Mitigations) 若无法立即升级,建议采取以下措施降低风险: 1. 针对同网络攻击者: 配置本地防火墙,限制对 LabOne Web Server (默认端口 8006) 的访问,仅允许 ,阻止其他主机访问。 仅在专用的、受信任的实验室网络中运行 LabOne,该网络不应连接到通用企业网络或互联网。 2. 针对恶意网站攻击者: 不要在运行 LabOne Web Server 的系统上浏览不受信任或未知的网站。 在可行情况下,将 LabOne 主机专门用于仪器控制,避免在其上进行通用网页浏览。 3. 其他建议: 对于无法升级的系统,避免存储凭据、个人数据或敏感研究数据,以减少成功利用的影响。 遵循一般安全建议,限制网络访问,仅允许受信任用户和网络访问运行受影响版本 LabOne 的系统。