CVE-2026-27766OpenHarmony v6.0及之前版本存在一处安全漏洞,该漏洞允许本地攻击者利用低权限账户,在无需用户交互的情况下,非法获取系统敏感信息。由于攻击向量局限于本地且无需复杂操作,攻击者可绕过部分安全隔离机制读取受保护数据。此漏洞可能导致机密性受损,建议用户尽快关注官方修复动态并进行升级,以防止敏感数据泄露。
该漏洞的根源在于OpenHarmony系统在v6.0及更早版本中,对本地进程的访问控制机制存在逻辑缺陷。具体而言,内核或特定系统服务在处理IPC(进程间通信)请求时,未能准确验证调用者的权限上下文,导致低权限进程可以越界读取受保护的内存空间或系统文件。攻击者通过编写恶意应用程序,在本地环境中执行并触发该缺陷,利用未初始化的指针或直接映射敏感内存区域,从而绕过沙箱限制。利用此漏洞,攻击者能够获取系统内部的敏感信息,如加密密钥、用户凭证或其他进程的私有数据。由于无需用户交互,该漏洞具有较好的隐蔽性,严重威胁用户数据的机密性。