从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞名称: - (0Day) Visteon Infotainment REFLASH_DDU_ExtractFile Command Injection Remote Code Execution Vulnerability 2. 漏洞编号: - ZDI-24-1192 - ZDI-CAN-23421 3. CVE编号: - CVE-2024-8360 4. CVSS分数: - 6.8,AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 5. 受影响的厂商: - Visteon 6. 受影响的产品: - Infotainment 7. 漏洞详情: - 这个漏洞允许物理存在的攻击者在受影响的Visteon Infotainment系统上执行任意代码。不需要身份验证即可利用此漏洞。 - 特定的错误存在于REFLASH_DDU_ExtractFile函数中。一个精心构造的软件更新文件可以触发对由用户提供的字符串组成的系统调用的执行。攻击者可以利用此漏洞在设备的上下文中执行代码。 8. 额外细节: - 2024-04-24 - ZDI向供应商报告了漏洞 - 2024-04-30 - ZDI请求更新 - 2024-07-29 - ZDI再次请求更新 - 2024-08-16 - ZDI通知供应商计划在2024-08-30发布0日漏洞公告 9. 披露时间线: - 2024-04-24 - 漏洞报告给供应商 - 2024-08-30 - 协调公共漏洞公告发布 - 2024-08-30 - 漏洞公告更新 10. 归功: - Dmitriy "InfoSecDJ" Janushkevich of Trend Micro Zero Day Initiative 这些信息提供了关于漏洞的详细描述,包括其严重性、受影响的系统和厂商,以及漏洞的披露和修复过程。