0x00 摘要 Apple OS X系统中的Admin框架存在可以提升root权限的API后门，并且已经存在多年（至少是从2011年开始）。我是在2014年的10月发现他可以被用来已任何用户权限提升为root权限，其本意可...

 易企CMS（yiqicms）是国内知名的营销型企业建站系统，基于PHP+MySQL开发。免费开源，对SEO较为友好。近日，阿里的补丁监控平台Diviner监测到yiqicms在特定情况下被Getshell的漏洞。 0x01&...

2017/04/11日ayound上报了一个Jackson Databind框架json反序列化漏洞，攻击者利用漏洞可在服务器主机上执行任意代码或系统指令，取得网站服务器的控制权。 影响版本：jackson databind 2.7.10 ...

简介 : Codiad 是一个开源基于Web的IDE应用程序，用于在线编写和编辑代码。这个应用程序采用PHP开发，并且不需要一个SQL数据库，数据是存储在一个JSON格式的文件中。它的界面包含三个面板：项目...

2017年11月20日，Intel官方发布了一则Intel多款固件安全更新公告(编号Intel-SA-00086)。此公告提供了包括Intel® Management Engine (ME), Intel® Server Platform Services (SPS), and Intel...

文章来源：EDI安全 01 目录 子域枚举+文件暴力+ JS分析= $ 10KSSRF 这是我在Facebook上发现的有关SSRF漏洞的文章。 该漏洞可能允许恶意用户向Facebook公司网络发送内部请求。 02 子域枚举 通过...

0x01 漏洞概述 zabbix是一个开源的企业级性能监控解决方案。近日，zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞，攻击者无需授权登陆即可登陆zabbix管理系统，也可通过script等...

意大利安全专家Vincenzo C. Aka发现Uber平台存在身份认证漏洞，任意账户都可以利用该漏洞重置密码，这一发现于昨日正式公布。实际上，引发此次“身份认证危机”的漏洞是在七个月前发现的，Vince...

Check Point研究人员的调查结果显示LG智能家居设备存在漏洞，黑客可以利用该漏洞完全控制一个用户账户，然后远程劫持LG SmartThinQ家用电器，包括冰箱，干衣机，洗碗机，微波炉以及吸尘机器人。...

微软于本月（8月）修补了一个针对Internet Explorer 11的0day--CVE-2020-1380。这是一个存在于IE中JavaScript引擎jscript9.dll中的UAF漏洞。在过去的几年中，我们观察到对IE的0day攻击通常利用v...

Office高级威胁漏洞背景 在高级威胁攻击中，黑客远程投递入侵客户端最喜欢的漏洞是office文档漏洞，就在刚刚结束的黑帽子大会上，最佳客户端安全漏洞奖颁给了CVE-2017-0199漏洞，这个漏洞是时下...