文章总结： 美国网络安全和基础设施安全局(CISA)将高通芯片组内存损坏漏洞CVE-2026-21385列入已知利用漏洞目录，证实其正遭积极利用。该漏洞源于整数溢出，可致任意代码执行或权限提升，影响数亿安卓及物联网设备。CISA要求限期采取缓解措施或停用，建议用户尽快更新补丁以规避风险。 综合评分： 78 文章分类： 漏洞预警,移动安全,IoT安全,漏洞分析

美国网络安全和基础设施安全局 (CISA) 警告：高通芯片组内存损坏漏洞正被攻击者积极利用

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月5日 12:06 北京

网络安全和基础设施安全局 (CISA) 于 2026 年 3 月 3 日将高通芯片组的一个严重漏洞添加到其已知利用漏洞 (KEV) 目录中，证实该漏洞已被积极利用。

该漏洞编号为 CVE-2026-21385，影响多个高通芯片组，并引入了严重的内存损坏风险，攻击者可以利用该风险入侵受影响的设备。

漏洞概述

该漏洞源于在多个高通芯片组之间进行内存分配对齐操作时发生的整数溢出情况 (CWE-190)。

当芯片组处理特定的内存对齐请求时，不正确的验证会导致整数值溢出，从而损坏相邻的内存区域。

这种缺陷可能允许威胁行为者执行任意代码、提升权限或破坏目标系统，因此在广泛部署高通芯片组的移动、嵌入式和物联网环境中尤其危险。

全球数亿部安卓智能手机、平板电脑、汽车系统和联网设备都使用高通处理器，这大大扩大了该漏洞的攻击面。

| 场地 | 细节 | | — | — | | CVE ID | CVE-2026-21385 | | 供应商/产品 | 高通/多种芯片组 | | 漏洞类型 | 内存损坏 | | CWE | CWE-190（整数溢出或回绕） | | 添加至 KEV 的日期 | 2026年3月3日 | | 补救措施到期日 | 2026年3月24日 | | 勒索软件使用情况 | 未知 | | CISA 行动 | 采取供应商缓解措施或停止使用产品。 |

CISA 将此漏洞纳入 KEV 目录，证实了威胁行为者正在积极利用 CVE-2026-21385 进行实际攻击。

虽然目前勒索软件活动是否参与其中尚不清楚，但此类内存损坏漏洞经常被用于提升权限、远程代码执行链和持久性设备入侵。

高通芯片组的广泛部署使其成为国家支持的犯罪分子和网络犯罪集团的理想目标。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《美国网络安全和基础设施安全局 (CISA) 警告：高通芯片组内存损坏漏洞正被攻击者积极利用》