Co reprezentuje Nasz Research
Odkrycia, Które Mają Znaczenie
Nasz zespół badawczy przeprowadza inżynierię wsteczną oprogramowania firmowego, aby odnaleźć luki zero-day zagrażające Twojej infrastrukturze - zanim zrobią to atakujący.
Przełamaliśmy Zabezpieczenia Gigantów
Poniższe podatności dotyczą systemów stworzonych i wykorzystywanych przez organizacje: SAP. IBM. Check Point. F5. BMC. Microsoft. Rapid7. CyberArk.
Aktualny Research
Opublikowaliśmy szeroki zakres podatności CVE w różnych branżach - każdej ma przypisany poziom zagrożenia od krytycznego do niskiego. Jesteśmy dumni, że wykrywanie przez nas krytycznych luk CVE w systemach firm takich jak IBM i Microsoft pomaga organizacjom na całym świecie stać się bezpieczniejszymi.
TCC bypass via misconfigured Node fuses in Cursor AI code editor allows unauthorized access to protected macOS resources
Privilege escalation via get-task-allow entitlement in Invoice Ninja allows attackers to debug and manipulate the application process on macOS
TCC bypass via inherited permissions in bundled Python interpreter in GIMP.app allows scripts to access protected resources
Privilege escalation via get-task-allow entitlement in MacVim allows attackers to debug and inject code into the application process
Incorrect authorization of XPC Service in Fantastical.app allows unauthorized inter-process communication leading to privilege escalation
TCC bypass via dylib injection in Postbox email client allows malicious code to access protected macOS resources
.webp)
TCC bypass via misconfigured Electron Node fuses in Nozbe allows malicious apps to access protected resources like camera, microphone, and files
TCC bypass via misconfigured Node fuses in Mosh-Pro allows applications to access protected user data without explicit consent
TCC bypass via dylib injection in Phoenix Code editor allows unauthorized access to protected user data on macOS
.webp)
Stored cross-site scripting in Rapid7 AppSpider Pro allows authenticated attackers to inject persistent malicious scripts
TCC bypass via dylib loading in Viscosity VPN client allows malicious code to access protected macOS resources
Insecure key and secret management in SAP GUI stores sensitive credentials in recoverable format, allowing local attackers to obtain passwords
HTML Injection vulnerability in SAP NetWeaver Application Server ABAP allows attackers to inject malicious HTML content into web pages viewed by other users
NTLM hash hijacking via UNC paths in SAP GUI allows attackers to capture authentication credentials when users interact with malicious content
TCC bypass via inherited permissions in bundled Python interpreter in Poedit allows scripts to access protected resources
Najpierw mapujemy Twoje systemy, następnie testujemy jak można je złamać.
Dlatego krytyczne luki zwykle znajdujemy poza pierwotnym zakresem testów - atakujący nie ograniczają się do tego, co jest w dokumentacji.
Testy Bezpieczeństwa - FAQ
Pytania, które zespoły bezpieczeństwa zadają przed partnerstwem z AFINE.