漏洞概述 National Instruments (NI) 的 gRPC Device Server 2.17.0 及更早版本中存在七个新披露的漏洞。这些漏洞包括: CVE-2026-48137:侧边流 API 中的未信任指针解引用 CVE-2026-48138:流 API 中的越界读取漏洞 CVE-2026-48139:数据监控器服务中的空指针解引用漏洞 CVE-2026-48140:BeginSidebandStream 中的未检查枚举转换漏洞 CVE-2026-48141:BeginSidebandStream 中的内存泄漏 CVE-2026-9142:TLS 配置不存在时的不安全默认凭据漏洞 CVE-2026-9143:CodeGen 中由于缺少范围检查导致的数值类型转换错误 影响范围 NI gRPC Device Server 2.17.0 及更早版本 InstrumentStudio 2026 Q2 及更早版本 修复方案 NI 强烈建议受影响的用户升级软件以缓解这些漏洞。具体修复方案如下: NI gRPC Device Server 2.17.0 及更早版本:升级到 NI gRPC Device Server 2.18.0 或更高版本。 InstrumentStudio 2026 Q2 及更早版本:修复措施正在开发中。 其他信息 CVSS 评分:每个漏洞都有对应的 CVSS 评分,详细评分见页面中的 CVSS Score 部分。 NI Update Service:NI 推荐使用 NI Update Service 来检查和安装更新,确保软件处于最新状态。 进一步信息:更多关于安全问题的信息可以在 NI 的安全页面找到。 致谢:感谢 Sebastián Alba Vives (@Sebasteuo / 0x54bb1) 报告此问题并与我们合作进行协调披露。 额外资源 相关 CVE 和 CWE 链接见页面中的 Additional Resources 部分。 --- 注意:页面中未包含 POC 代码或利用代码。