漏洞关键信息 漏洞名称: (0Day) Discord Client Uncontrolled Search Path Element Local Privilege Escalation Vulnerability 漏洞ID: - ZDI-26-040 - ZDI-CAN-27057 - CVE-2026-0776 CVSS评分: 7.3 - AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 受影响的厂商: Discord 受影响的产品: Client 漏洞细节: - 此漏洞允许本地攻击者在受影响的Discord客户端安装中提升权限。攻击者需首先在目标系统上执行低特权代码才能利用此漏洞。 - 漏洞存在于discord_rpc模块中,该模块从不安全的位置加载文件。攻击者可利用此漏洞提升权限并在目标用户上下文中执行任意代码。 额外细节: - 2025-07-08: ZDI向厂商提交报告 - 2025-09-11: ZDI要求确认收到报告 - 2025-09-15: 厂商表示报告的行为不是漏洞 - 2025-12-01: ZDI提供有关安全问题影响的更多信息 - 2025-12-10: ZDI要求更新 - 2025-12-11: 厂商表示报告的问题不在其漏洞赏金计划范围内 - 2025-12-11: ZDI通知厂商将发布0day公告 - 缓解措施: 鉴于漏洞性质,唯一有效的缓解策略是限制与产品的交互 披露时间线: - 2025-07-08: 向厂商报告漏洞 - 2026-01-09: 协调发布公告 - 2026-01-09: 更新公告 发现者: T. Doğa Gelişli