联想个人云存储漏洞CVE-2026-6282允许横向文件访问

执行摘要

联想披露了一个高严重性的漏洞，跟踪编号为 CVE-2026-6282（CVSS 8.1），影响其个人云存储设备。该漏洞源于不当的文件路径验证，允许远程认证用户移动或访问同一设备上其他用户的文件。联想尚未发布固件补丁；该公告于2026年5月13日发布在公司的中文支持门户上。该漏洞影响联想个人云存储产品的所有当前固件版本，尽管联想在公开公告中没有指定确切的型号或固件版本。

技术分析

CVE-2026-6282 是联想个人云存储设备Web管理界面中不当的文件路径验证漏洞。根据联想的公告，该问题使远程认证攻击者能够遍历文件系统，移动或读取同一设备上其他用户的文件。CVSS 3.1基础得分为8.1，将其置于高严重性范围，向量字符串表明基于网络的利用，低攻击复杂性，以及超出初始认证外无需用户交互。

该漏洞与典型的路径遍历不同，因为它特别针对设备存储子系统中的多租户文件隔离。联想个人云存储设备针对家庭和小型企业使用，多个用户账户可能共享单一物理设备。拥有一个账户的有效凭证的攻击者可以利用这个漏洞横向访问同一设备上其他账户的数据，绕过预期的访问控制。

联想的公告没有包括概念验证代码或超出基本描述的技术细节。公司感谢一位未具名的外部研究人员报告了这个问题。截至2026年5月15日，NVD尚未发布CVE条目，尽管公告直接引用了CVE-2026-6282。

缓解措施与建议

联想尚未发布固件更新以解决CVE-2026-6282。在补丁可用之前，用户应采取以下步骤以减少暴露：

• 限制网络暴露：确保个人云存储设备不直接从互联网访问。禁用UPnP端口转发，避免将管理界面暴露在公共IP地址上。
• 使用强有力、独特的密码：由于利用需要认证访问，为设备上的所有用户账户强制执行强密码策略。
• 监控未经授权的访问：审查设备日志，寻找不寻常的文件访问模式或账户活动。如果设备支持审计日志记录，启用它并定期检查异常。
• 在单独的VLAN上分段设备：将存储设备与关键系统和其他网络段隔离，以限制潜在妥协的影响范围。
• 尽快应用固件补丁：关注联想的官方支持渠道以获取更新。中国用户可以监控iknow.lenovo.com.cn上的公告页面；国际用户应检查联想的全球支持网站。