以下是该网页截图中关于漏洞的关键信息总结: --- 漏洞概述 漏洞名称:本地权限提升漏洞(Local Privilege Escalation Vulnerability) CVE编号:CVE-2026-2638 严重程度:CVSS v4.0 评分 7.3,高危(High) 漏洞类型:本地权限提升 状态:已修复(Fixed) 利用状态:未发现野外利用(No in-the-wild exploitation observed) --- 影响范围 受影响版本:X-VPN macOS 网站版(从官网下载的安装包)版本 77.0 至 77.5 不受影响版本: - X-VPN Mac App Store 版本 - Windows / iOS / Android / Linux / Router / TV / Chrome Extension / Chromebook / Game Consoles 等平台版本 --- 修复方案 修复版本:X-VPN macOS 网站版 77.5.1 及更高版本 用户操作建议:立即更新至 77.5.1 或更高版本 --- 漏洞原理简述 该漏洞源于 X-VPN macOS 网站版的“下载保护”功能(Download Protection),其在扫描、隔离和恢复文件时,仅依赖文件路径识别目标文件,未在不同阶段重新验证文件内容。攻击者可通过以下两个条件触发漏洞: 1. 设备上已运行具有普通用户权限的恶意程序; 2. 恶意程序在“下载保护”识别文件与实际执行操作之间的时间窗口内,替换原文件(如通过符号链接或文件重命名)。 由于“下载保护”以管理员权限运行,它会误操作被替换后的文件,从而实现权限提升。 --- 关键修复措施 1. 文件身份一致性检查(File Identity Consistency Checks) 2. 隔离完整性验证(Quarantine Integrity Validation) 3. 符号链接不接受在关键操作中(Symbolic Links Are Not Accepted in Critical Operations) --- > 注:页面中未提供 POC 或 exploit 代码块。