CVE-2026-28733OpenHarmony v6.0及其先前版本中存在一处本地安全漏洞。该漏洞源于系统权限校验机制存在缺陷,允许本地低权限攻击者在无需用户交互的情况下执行任意代码。成功利用此漏洞可能导致攻击者突破沙箱限制,进而破坏系统的机密性、完整性和可用性。鉴于其CVSS评分为6.5,属于中危级别,建议相关用户尽快采取补救措施以防范潜在风险。
该漏洞的根源在于OpenHarmony操作系统在处理特定本地进程请求时,未能正确执行权限隔离与上下文验证。由于CVSS向量显示范围已改变(S:C),这表明漏洞可能涉及沙箱逃逸机制,即攻击者能够从受限制的用户空间跨越边界影响系统核心组件。攻击复杂度低(AC:L)且无需用户交互(UI:N),意味着攻击者只需在本地运行特制的恶意程序或脚本即可触发漏洞。具体利用方式可能涉及操纵系统底层API或利用服务进程中的逻辑错误,从而注入并执行任意恶意代码。特别是在涉及OpenHarmony特有的分布式子系统或基础服务库时,若对调用方身份校验不严,极易被利用。攻击者利用此漏洞可绕过系统现有的安全防护体系,实现对目标设备的非授权控制。