为什么没有靓仔给我一键三连？！？😭 这次一定，量大管饱！

Windows本地权限提升

• 一名威胁行为者声称正在出售新的 Windows LPE 0-day。
• 据威胁行为者称，成功率为 98%。
• 价格：15万美元

语音电话应用signal存在会话复制问题

• 应用可能导致信息泄露
• 易被恶意程序利用

0day漏洞交易平台

• 0day.today
• 规模最大的漏洞利用数据库和零日漏洞市场，给用户提供了有关渗透测试，IDS特征库开发，漏洞利用研究方面的有价值信息。
• 允许您购买和下载漏洞。很多都是免费的。包含超过 39,000 种不同的漏洞。

bf成员建议标准化0day交易流程

流程如下，目前没有管理员下场表态

1. 首先进行托管
2. 卖方必须在销售前提供有效的 PoC（视频或在买方的 VM 上进行测试），并且必须在销售前进行验证
3. 如果有诚意购买0day（提供 PoF 资金证明），卖方必须提供有关该漏洞的技术见解。

在微软修复 Windows 0day 漏洞之前，威胁行为者已经利用该漏洞一年多了

做了一个违背祖宗的决定呀，本来在我的观点里有cve不算0day，但是架不住大家都说这个算0day。

• CVE-2024-38112
• 做等poc，这个poc出来了应该会被大范围使用
• 这个漏洞有点厉害

网件（Netgear）无线路由器Orbi存在不需要身份验证的RCE

• 受影响设备总数：51,287
• 需要资金证明

bf成员在悬赏寻找开源C语言项目中的0day漏洞

bf成员打算支付10万到25万美元购买一个开源C语言项目中的RCE远程代码执行漏洞。这个漏洞是由暑期实习生发现的，虽然在实际应用中不太实用，但技术上是可行的，并且他们已经就此写了一些小型博客文章。价格取决于漏洞的实用性，是否能够立即使用，以及它是否适用于不同版本的软件等。请通过私信向我展示你之前的工作成果，我会告诉你更多关于这个项目的信息。如果你能成功找到这个漏洞，将来很可能会有更多工作机会。如果我们讨论了你之前的工作成果，并且你听起来像是知道自己在说什么，我可以向你证明资金的可用性。

这个项目非常适合进行模糊测试。交易必须通过第三方托管进行。如果你能将我介绍给找到这个漏洞的人，你将获得5%的发现费作为奖励。

EntroLink VPN设备存在无法身份验证RCE

• 总设备数（可利用）：36 100K 设备。
• 通过中间人交易，需要提供资金证明，以免浪费时间。我会提供 POC。

游乐园中的投篮0day(真0day🐶)

游乐园投篮软件中新的 0day 漏洞被野外利用。附有 PoC。如果可以的话请修补它😀