从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称:(0Day) ChargePoint Home Flex Bluetooth Low Energy Information Disclosure Vulnerability 2. 漏洞编号: - ZDI-24-1046 - ZDI-CAN-21454 3. CVE编号:CVE-2024-7391 4. CVSS分数:2.6 5. 受影响的厂商:ChargePoint 6. 受影响的产品:Home Flex 7. 漏洞详情: - 漏洞允许网络附近的攻击者在受影响的ChargePoint Home Flex充电设备上披露敏感信息。 - 特定的错误存在于Wi-Fi设置逻辑中。通过在设置过程中通过蓝牙低能量连接到设备,攻击者可以获取Wi-Fi凭据。 - 攻击者可以利用此漏洞披露凭据并访问设备所有者的Wi-Fi网络。 8. 额外细节: - 2023年7月11日,ZDI向厂商报告了漏洞。 - 2023年11月9日,ZDI要求更新。 - 2024年4月29日,ZDI再次要求更新。 - 2024年5月24日,ZDI再次要求更新。 - 2024年5月29日,厂商表示漏洞已被解决,但需要从QA获取验证。 - 2024年7月22日,ZDI再次要求更新。 - 2024年7月29日,ZDI通知厂商,由于从未收到确认漏洞已被修复的确认,他们别无选择,只能在8月1日发布报告作为零日漏洞。 9. 缓解措施:由于漏洞的性质,唯一的缓解策略是限制与应用程序的交互。 10. 披露时间线: - 2023年7月11日 - 漏洞报告给厂商 - 2024年8月1日 - 协调公开发布漏洞公告 - 2024年8月15日 - 更新公告 11. 信用:Todd Manning of Trend Micro Research