高通发布2026年5月安全公告：修复多处高危漏洞，含三个CVSS 9.6以上临界漏洞

据加拿大网络安全中心5月5日发布的月度安全通告，高通（Qualcomm）于2026年5月4日正式发布五月安全公告，披露了其专有及开源软件生态系统中的多个安全漏洞，并已向原始设备制造商（OEM）推送安全补丁，强烈建议尽快部署。本次公告一次性披露了10个安全缺陷，其中3个被标记为最高级别的Critical（临界）风险，CVSS评分均超过9.6分，覆盖了核心软件服务、工业电力线通信固件及系统引导层等关键组件。

本次公告中风险评分最高的是CVE-2026-25254，CVSS评分达到9.8，属于临界级别漏洞。该漏洞存在于Qualcomm Software Center（QSC）核心服务组件中，涉及SocketIO接口的不当授权（CWE-285）问题。由于认证机制的缺失，攻击者可利用该漏洞在无需任何身份验证、无需用户交互的条件下，通过远程方式实现任意代码执行（Remote Code Execution），进而完全控制受影响设备。受影响的版本包括QSCv1.17.1、QSCv1.19.1及QSCv1.21.0，广泛部署于搭载骁龙芯片的智能手机、路由器、物联网网关及智能电视等多种设备中。

另一引起高度关注的临界漏洞为CVE-2026-25293，CVSS评分9.6。该漏洞位于高通QCA7005电力线通信（PLC）芯片的固件中，由不当授权引发缓冲区溢出，攻击者可远程利用该漏洞突破安全边界，影响目标设备的全系统运行。QCA7005芯片专为工业场景设计，广泛应用于工业PLC控制器、智能电网变电设备、能源监测终端及楼宇自动化系统等关键基础设施领域。这使得该漏洞的潜在影响范围从传统消费电子领域扩展至工业控制与关键基础设施。

此外，公告还修复了第三个临界漏洞CVE-2026-25262。该漏洞位于Primary Bootloader（主引导加载程序）中，属于“任意地址写入”（Write-what-where）类型的内存损坏漏洞，在处理恶意构造的ELF文件时触发。虽然该漏洞需要本地访问权限才能实施攻击，但一旦被利用，攻击者可破坏设备引导链的完整性，实现深层次的权限提升和持久化控制。此漏洞由卡巴斯基ICS CERT团队的Alexander Kozlov发现并报告，影响的芯片组包括MDM9x07、MSM8909、MSM8916及SDX50等系列。

除上述三个临界漏洞外，本次公告还覆盖了多款核心组件的安全修复，技术领域涉及WLAN固件与HAL层、Qualcomm Package Manager（QPM）、车载GPU与音频组件及DSP服务等。漏洞类型涵盖不当输入验证、内存损坏、越权访问及危险函数暴露等。高通表示，相关补丁已主动分享给OEM厂商，并强烈建议在已上市设备上尽快部署更新。由于高通芯片被广泛应用于全球数十亿台设备，实际补丁的推送节奏将取决于各终端设备制造商的适配进度，高通安全公告亦建议用户联系设备制造商确认具体补丁状态。

值得注意的是，本次公告中已有部分漏洞在此前受到行业关注。例如CVE-2026-25262的发现者卡巴斯基曾在Black Hat Asia 2026会议上首次披露该硬件级漏洞的相关研究成果。而CVE-2026-21385则早在2026年3月已被谷歌证实存在有限、定向的实际利用，相关补丁已纳入Android 2026年3月安全更新中。本次五月公告重点通报了全新披露的QSC接口授权缺陷、PLC固件溢出及引导层内存损坏等漏洞，进一步凸显了高通芯片生态在核心组件安全性上面临的持续挑战。