从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:(0Day) Panda Security Dome VPN Incorrect Permission Assignment Local Privilege Escalation Vulnerability 2. 漏洞编号:ZDI-24-1015, ZDI-CAN-23429 3. CVE ID:CVE-2024-7245 4. CVSS Score:7.0, AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H 5. 受影响的厂商:Panda Security 6. 受影响的产品:Dome 7. 漏洞详情: - 该漏洞允许本地攻击者在受影响的Panda Security Dome安装上提升权限。 - 攻击者必须首先获得在目标系统上执行低权限代码的能力。 - 问题存在于Hydra Sdk Windows服务中的特定错误。服务在创建的文件夹上缺乏适当的权限设置。 - 攻击者可以利用此漏洞提升权限并在SYSTEM上下文中执行任意代码。 8. 额外详情: - 2024-02-14:ZDI向WatchGuard PSIRT报告了漏洞。 - 2024-06-26:ZDI要求更新。 - 2024-07-26:ZDI通知厂商,由于未收到回复,将在2024-07-29发布零日公告。 9. 缓解措施:由于漏洞的性质,唯一的缓解策略是限制与应用程序的交互。 10. 披露时间线: - 2024-02-14:漏洞报告给厂商。 - 2024-07-29:协调公共发布公告。 - 2024-08-15:公告更新。 11. 信用:Nicholas Zubrisky (@NZubrisky) 和 Michael DePlante (@izobashi) 为Trend Micro的零日计划提供了信用。