文章总结： CVE-2026-3502是TrueConfClient更新机制缺失完整性校验的高危漏洞（CVSS7.8），攻击者通过控制服务器或中间人攻击可替换更新负载实现任意代码执行，已被真实利用并列入CISAKEV目录。受影响版本为v8.5.2及更早的Windows客户端，建议立即升级至v8.5.3并加固本地服务器安全。 综合评分： 88 文章分类： 漏洞分析,威胁情报,应急响应,解决方案,供应链安全

【漏洞预警】CVE-2026-3502 TrueConf Client 更新代码完整性校验绕过

Ots安全

2026年4月4日 14:10 广东

威胁简报

恶意软件

漏洞攻击

TrueConf Client视频会议客户端近日被披露CVE-2026-3502更新代码完整性校验绕过漏洞，CVSS评分7.8（High），已被CISA于2026年4月2日正式收录Known Exploited Vulnerabilities（KEV）目录。该漏洞源于客户端在下载并应用更新代码时未进行完整性验证，攻击者可通过影响更新交付路径的方式替换篡改更新负载，实现任意代码执行。

该漏洞已在2026年初的“Operation TrueChaos”行动中被真实利用，针对东南亚某国政府网络部署Havoc恶意软件。攻击者无需逐一攻破终端，仅需控制TrueConf本地服务器或处于同网段即可完成全网投递。受影响环境主要为部署TrueConf Windows客户端的政府、企业视频会议系统。目前官方已在v8.5.3版本中完成修复。本文基于Check Point官方报告、CISA KEV公告及公开情报，对CVE-2026-3502漏洞成因、利用路径及防御措施进行梳理，帮助用户快速完成风险排查与版本加固。

漏洞成因与原理分析

CVE-2026-3502属于典型CWE-494（Download of Code Without Integrity Check）类别。TrueConf Client的更新机制在获取应用更新代码时，缺少数字签名、哈希校验等完整性保护措施，导致攻击者可直接篡改更新负载。

攻击者一旦控制更新交付路径（例如接管TrueConf本地服务器或实施中间人攻击），即可构造包含恶意代码的更新包。客户端下载后直接执行该负载，权限与更新进程一致，进而实现任意代码执行。该漏洞无需用户额外交互，隐蔽性强，属于供应链攻击的典型场景。

复现/利用路径（中性描述）

攻击者通过控制TrueConf服务器或处于相邻网络位置，拦截并替换客户端请求的更新文件为篡改后的恶意负载。客户端在正常更新流程中下载并应用该负载，最终在更新进程或用户上下文下执行任意代码。整个过程仅依赖客户端的常规更新行为。

受影响产品与版本

• 核心产品：TrueConf Client（Windows版本）
• 受影响版本：v8.5.2及更早版本
• 修复版本：v8.5.3及以上
• 典型环境：政府机构、企业内部部署的视频会议系统，尤其使用TrueConf本地服务器的环境
• 当前状态：CISA已要求联邦机构在2026年4月16日前完成修复

总结

CVE-2026-3502再次提醒我们，更新机制的完整性校验缺失可能成为供应链攻击的突破口。该漏洞已被真实利用并进入CISA KEV目录，建议所有TrueConf Client用户优先完成v8.5.3版本升级，并加强对本地服务器的安全加固。及时跟进官方补丁与KEV动态，是当前最有效的风险控制手段。

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《【漏洞预警】CVE-2026-3502 TrueConf Client 更新代码完整性校验绕过》