Nasz Research Podatności

Common Vulnerabilities and Exposures

Alarm bezpieczeństwa SAP dla CVE-2025-24870 wskazujący krytyczny poziom zagrożenia dla zarządzania niezabezpieczonymi tajemnicami, ujawniając dane uwierzytelniające w postaci zwykłego tekstu i dostępu do transakcji bankowych i danych korporacyjnych.

Co reprezentuje Nasz Research

Odkrycia, Które Mają Znaczenie

Nasz zespół badawczy przeprowadza inżynierię wsteczną oprogramowania firmowego, aby odnaleźć luki zero-day zagrażające Twojej infrastrukturze - zanim zrobią to atakujący.

Przełamaliśmy Zabezpieczenia Gigantów

Poniższe podatności dotyczą systemów stworzonych i wykorzystywanych przez organizacje: SAP. IBM. Check Point. F5. BMC. Microsoft. Rapid7. CyberArk.

Logo pięciu firm technologicznych: IBM, Check Point, Microsoft, SAP i CyberArk na czarnym tle.

Aktualny Research

Opublikowaliśmy szeroki zakres podatności CVE w różnych branżach - każdej ma przypisany poziom zagrożenia od krytycznego do niskiego. Jesteśmy dumni, że wykrywanie przez nas krytycznych luk CVE w systemach firm takich jak IBM i Microsoft pomaga organizacjom na całym świecie stać się bezpieczniejszymi.

Sortuj przez Poziom zagrożenia
Dziękuję! Twoje zgłoszenie zostało odebrane!
Ups! Coś poszło nie tak podczas przesyłania formularza.
CVE-2020-13483
Poziom zagrożenia
Średni

Cross-site scripting with WAF bypass in Bitrix CRM allows script injection despite security controls

Zobacz więcej
CVE-2020-13443
Poziom zagrożenia
Krytyczny

Remote command execution via unrestricted file upload in ExpressionEngine allows arbitrary code execution

Zobacz więcej
CVE-2020-11976
Poziom zagrożenia
Wysoki

Directory traversal in Apache Wicket allows reading Wicket markup source files from the server

Zobacz więcej
CVE-2019-19129
Poziom zagrożenia
Średni

Remote stored XSS via attachment name in Afterlogic WebMail Pro 8.3.11 allows persistent script injection

Zobacz więcej
CVE-2019-14521
Poziom zagrożenia
Krytyczny

Eskalacja uprawnień w F5 BIG-IP - użytkownik przejmuje kontrolę nad systemem

Zobacz więcej
CVE-2019-10070
Poziom zagrożenia
Średni

Stored XSS w Apache Atlas - trwałe wstrzyknięcie złośliwego kodu

Zobacz więcej
CC-2390
Poziom zagrożenia
Wysoki

Local privilege escalation due to incorrect DLL permissions in KeeperChat on macOS allows local attackers to execute code with elevated privileges

Zobacz więcej

Najpierw mapujemy Twoje systemy, następnie testujemy jak można je złamać.

Dlatego krytyczne luki zwykle znajdujemy poza pierwotnym zakresem testów - atakujący nie ograniczają się do tego, co jest w dokumentacji.

Zarezerwuj konsultację
arrow_right [#333] Created with Sketch.

Testy Bezpieczeństwa - FAQ

Pytania, które zespoły bezpieczeństwa zadają przed partnerstwem z AFINE.

Czy AFINE posiada certyfikat ISO 27001 i jakie standardy compliance wspieracie?

Tak, AFINE posiada certyfikat ISO 27001. Poza certyfikacją ISO utrzymujemy najwyższe standardy bezpieczeństwa operacyjnego wypracowane podczas 10 lat pracy z korporacjami. Nasze audyty bezpieczeństwa wspierają zgodność z DORA, PCI DSS, SOC 2, ISO 27001, TIBER-EU, NESA oraz FCA. Przeprowadziliśmy setki audytów dla regulowanych instytucji takich jak PKO BP, ING Bank czy BGK.

Jakie certyfikaty i specjalistyczną wiedzę posiada zespół AFINE?

Każdy członek zespołu posiada minimum certyfikat OSCP lub eWPTX. Nasi badacze mają średnio 7-10 lat doświadczenia w ofensywnym bezpieczeństwie z certyfikatami OSCE, OSWE, OSED, OSEP, CRTO, CSSA, CISSP, CISA oraz BSCP. Opublikowaliśmy CVE w oprogramowaniu SAP, Microsoft, CyberArk, Palo Alto, F5, IBM i innych rozwiązaniach korporacyjnych.

Co wyróżnia AFINE na tle innych firm oferujących testy bezpieczeństwa?

Opublikowaliśmy ponad 150 CVE w oprogramowaniu korporacyjnym i rozumiemy, jak atakujący wykorzystują złożone systemy - wykraczając daleko poza automatyczne skany. Nasze manualne testy wykrywają błędy w logice biznesowej oraz złożone scenariusze ataków, których inni nie znajdują. Isabel Group potwierdził: "wciąż znajdują krytyczne luki tam, gdzie inni pentesterzy ich nie wykryli." Nasza 10-letnia specjalizacja w ofensywnym bezpieczeństwie oznacza, że rozumiemy zarówno wymogi regulacyjne, jak i specyfikę testowania systemów krytycznych dla biznesu.