漏洞关键信息 漏洞概述 名称: Wacom Drivers for Windows Incorrect Permission Assignment Local Privilege Escalation Vulnerability ID: ZDI-23-741, ZDI-CAN-16318 CVE ID: CVE-2023-32162 CVSS 评分: 7.8 - 向量: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 影响范围 受影响厂商: Wacom 受影响产品: Drivers for Windows 漏洞详情 描述: 该漏洞允许本地攻击者在受影响的Wacom Drivers for Windows的安装上提升权限。攻击者必须首先在目标系统上获得执行低权限代码的能力才能利用此漏洞。 - 具体问题: 在通过PrefUtil.exe实用程序处理WacomInstall1.txt文件时存在特定的缺陷。由于WacomInstall1.txt文件的权限设置不正确,攻击者可以利用此漏洞提升权限并以SYSTEM身份执行任意代码。 披露时间线 2022-07-08: 漏洞报告给厂商 2023-05-26: 协调公开发布建议 报告者 报告者: Luca Barile - https://lucabarile.github.io/ 附加详情 披露时间表: - 2022年7月8日 - 向厂商报告漏洞 - 2023年5月26日 - 协调公开发布建议 缓解措施: 鉴于漏洞的性质,唯一的缓解策略是限制与该应用程序的交互。