漏洞概述 在NI-PAL中发现了两个无效输入验证漏洞。这些漏洞影响Windows、Linux和Linux实时系统上的NI-PAL 26.3.0及更早版本。 CVE-2026-8035:允许本地认证用户通过触发因空指针解引用导致的崩溃,从而造成拒绝服务。 CVE-2026-8036:允许本地认证用户访问任意系统内存,可能导致权限提升。 许多NI驱动程序包含NI-PAL,并受这些漏洞影响。 影响范围 Windows:NI-VISA 2026 Q2 Patch 1 (26.3.1) 或更早版本。 Linux Desktop:NI Linux Device Drivers 2026 Q2 或更早版本。 Linux Real-Time:NI Linux RT System Image 2026 Q2 或更早版本。 修复方案 NI强烈建议升级受影响的软件以缓解这些漏洞。 Windows 1. 导航到 文件夹。 2. 找到文件 ,右键点击并选择“属性”。 3. 在“属性”窗口中,导航到“详细信息”选项卡。注意“产品版本”字段中列出的版本。 4. 如果NI-PAL版本为26.3.0或更早,安装Windows补丁。 Linux Desktop 1. 使用发行版的包管理器查看ni-pal包的版本。 2. 或者,执行以下命令报告加载的NI-PAL内核模块的版本: 3. 如果NI-PAL版本为26.3.0或更早,升级NI驱动程序版本。 升级Linux 1. 按照标准说明安装NI Linux Device Drivers 2026 Q2。 2. 从终端提示符安装最新更新。 Ubuntu: Red Hat Enterprise Linux: openSUSE Leap: NI Linux Real-Time 1. 在主机上安装NI Linux RT System Image 2026 Q2。 2. 将NI Linux RT System Image 2026 Q2应用到目标。 3. 从主机终端提示符安装最新更新。 4. 如果需要,输入目标凭据。 5. 在ssh会话提示符下: CVSS评分 CVE-2026-8035:7.1 - CVSS:3.1 /AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N CVE-2026-8036:6.9 - CVSS:4.0 /AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/SC:N/SI:N/SA:N 其他信息 NI Update Service:NI Update Service是一个Windows实用程序,用于检查和交付NI软件和驱动程序的更新,包括安全更新。它可以手动检查更新,配置为定期检查和通知用户,或自动下载和安装更新。 进一步信息:NI将产品安全视为对客户承诺的重要组成部分。访问ni.com/security以获取安全警报和问题的最新信息。 致谢:NI感谢Patrick Saif (@weezerOSINT) 报告此问题并与NI合作进行协调披露。 额外资源: - CVE-2026-8035 - 国家漏洞数据库 - CVE-476 - 空指针解引用 - CVE-2026-8036 - 国家漏洞数据库 - CWE-1289 - 输入中指定索引、位置或偏移量的无效验证 受影响产品 页脚信息 解决方案:学术与研究、航空航天、国防与政府、电子、能源、工业机械、生命科学、半导体、交通。 订单:NI分销商合作伙伴、订单状态和历史、获取报价、服务条款、按零件号或请求报价下单。 公司:NI现在是Emerson的一部分、关于、Emerson职业、新闻室、供应链与质量、活动。 支持:下载、产品文档、讨论论坛、激活产品、提交服务请求、站点反馈。 社交媒体链接 Facebook X (Twitter) LinkedIn YouTube Instagram 语言和法律信息 荷兰语(英语) 法律 © 2026 National Instruments Corp. 保留所有权利。