VMware Fusion高風險漏洞CVE-2026-41702權限提升
博通(Broadcom)於2026年5月20日修補VMware Fusion(macOS版)的高風險本機權限提升漏洞。
漏洞詳情
| 項目 | 內容 |
|---|---|
| CVE | CVE-2026-41702 |
| 產品 | VMware Fusion(macOS) |
| 類型 | 本機權限提升(LPE)— TOCTOU |
| CVSS | 7.8(高風險) |
| 影響版本 | 25H2 |
| 修補版本 | 26H1 |
技術細節
- 成因: SETUID 二進位檔的 TOCTOU(Time-of-Check Time-of-Use)弱點
- 攻擊條件: 需先取得非管理員本機帳號存取權
- 攻擊結果: 可將權限升級至 root
- 野外利用: 博通未說明
- 緩解方案: 無(僅更新可解決)
修補建議
立即升級至VMware Fusion 26H1。無替代緩解方案,所有25H2用戶均應儘速更新。
來源文章
相關頁面
- vmware-fusion — 受影響產品