Nasz Research Podatności

Common Vulnerabilities and Exposures

Alarm bezpieczeństwa SAP dla CVE-2025-24870 wskazujący krytyczny poziom zagrożenia dla zarządzania niezabezpieczonymi tajemnicami, ujawniając dane uwierzytelniające w postaci zwykłego tekstu i dostępu do transakcji bankowych i danych korporacyjnych.

Co reprezentuje Nasz Research

Odkrycia, Które Mają Znaczenie

Nasz zespół badawczy przeprowadza inżynierię wsteczną oprogramowania firmowego, aby odnaleźć luki zero-day zagrażające Twojej infrastrukturze - zanim zrobią to atakujący.

Przełamaliśmy Zabezpieczenia Gigantów

Poniższe podatności dotyczą systemów stworzonych i wykorzystywanych przez organizacje: SAP. IBM. Check Point. F5. BMC. Microsoft. Rapid7. CyberArk.

Logo pięciu firm technologicznych: IBM, Check Point, Microsoft, SAP i CyberArk na czarnym tle.

Aktualny Research

Opublikowaliśmy szeroki zakres podatności CVE w różnych branżach - każdej ma przypisany poziom zagrożenia od krytycznego do niskiego. Jesteśmy dumni, że wykrywanie przez nas krytycznych luk CVE w systemach firm takich jak IBM i Microsoft pomaga organizacjom na całym świecie stać się bezpieczniejszymi.

Sortuj przez Poziom zagrożenia
Dziękuję! Twoje zgłoszenie zostało odebrane!
Ups! Coś poszło nie tak podczas przesyłania formularza.
CVE-2025-42943
Poziom zagrożenia
Średni

NTLM hash hijacking via UNC paths in SAP GUI allows attackers to capture authentication credentials when users interact with malicious content

Zobacz więcej
CVE-2025-4280
Poziom zagrożenia
Średni

TCC bypass via inherited permissions in bundled Python interpreter in Poedit allows scripts to access protected resources

Zobacz więcej
CVE-2025-4081
Poziom zagrożenia
Średni

TCC bypass via dylib substitution in DaVinci Resolve allows malicious applications to access protected system resources

Zobacz więcej
CVE-2025-3864
Poziom zagrożenia
Niski

Connection pool exhaustion in Hackney HTTP client library allows remote attackers to cause denial of service

Zobacz więcej
CVE-2025-36857
Poziom zagrożenia
Niski

Broken access control in Rapid7 AppSpider Pro < 7.5.021 allows standard users to place configuration files in directories belonging to other users/projects, potentially overriding security settings

Zobacz więcej
CVE-2025-25242
Poziom zagrożenia
Średni

Cross-site scripting in SAP NetWeaver Application Server ABAP allows injection of malicious scripts into web interfaces

Zobacz więcej
CVE-2025-24870
Poziom zagrożenia
Średni

Insecure key and secret management in SAP GUI stores encryption keys in recoverable format allowing credential theft

Zobacz więcej
CVE-2025-22274
Poziom zagrożenia
Niski

HTML injection in CyberArk Endpoint Privilege Manager allows attackers to inject arbitrary HTML content

Zobacz więcej
CVE-2025-22273
Poziom zagrożenia
Krytyczny

Missing rate limiting on password change in CyberArk EPM allows brute-force attacks against user accounts

Zobacz więcej
CVE-2025-22272
Poziom zagrożenia
Niski

Self-reflected XSS in CyberArk Endpoint Privilege Manager allows script execution via crafted requests

Zobacz więcej
CVE-2025-22271
Poziom zagrożenia
Średni

IP spoofing vulnerability in CyberArk Endpoint Privilege Manager allows attackers to bypass IP-based access controls

Zobacz więcej
CVE-2025-22270
Poziom zagrożenia
Wysoki

Stored cross-site scripting in CyberArk Endpoint Privilege Manager allows persistent script injection in management console

Zobacz więcej
CVE-2025-22165
Poziom zagrożenia
Średni

Local privilege escalation in Atlassian Sourcetree for Mac allows local attackers to execute arbitrary code with elevated privileges

Zobacz więcej
CVE-2025-2098
Poziom zagrożenia
Wysoki

Dylib hijacking in Fast CAD Reader allows local attackers to execute arbitrary code by placing malicious libraries

Zobacz więcej
CVE-2025-1983
Poziom zagrożenia
Średni

Cross-site scripting in Ready_ Symfonia eDokumenty document management system allows injection of malicious scripts

Zobacz więcej

Najpierw mapujemy Twoje systemy, następnie testujemy jak można je złamać.

Dlatego krytyczne luki zwykle znajdujemy poza pierwotnym zakresem testów - atakujący nie ograniczają się do tego, co jest w dokumentacji.

Zarezerwuj konsultację
arrow_right [#333] Created with Sketch.

Testy Bezpieczeństwa - FAQ

Pytania, które zespoły bezpieczeństwa zadają przed partnerstwem z AFINE.

Czy AFINE posiada certyfikat ISO 27001 i jakie standardy compliance wspieracie?

Tak, AFINE posiada certyfikat ISO 27001. Poza certyfikacją ISO utrzymujemy najwyższe standardy bezpieczeństwa operacyjnego wypracowane podczas 10 lat pracy z korporacjami. Nasze audyty bezpieczeństwa wspierają zgodność z DORA, PCI DSS, SOC 2, ISO 27001, TIBER-EU, NESA oraz FCA. Przeprowadziliśmy setki audytów dla regulowanych instytucji takich jak PKO BP, ING Bank czy BGK.

Jakie certyfikaty i specjalistyczną wiedzę posiada zespół AFINE?

Każdy członek zespołu posiada minimum certyfikat OSCP lub eWPTX. Nasi badacze mają średnio 7-10 lat doświadczenia w ofensywnym bezpieczeństwie z certyfikatami OSCE, OSWE, OSED, OSEP, CRTO, CSSA, CISSP, CISA oraz BSCP. Opublikowaliśmy CVE w oprogramowaniu SAP, Microsoft, CyberArk, Palo Alto, F5, IBM i innych rozwiązaniach korporacyjnych.

Co wyróżnia AFINE na tle innych firm oferujących testy bezpieczeństwa?

Opublikowaliśmy ponad 150 CVE w oprogramowaniu korporacyjnym i rozumiemy, jak atakujący wykorzystują złożone systemy - wykraczając daleko poza automatyczne skany. Nasze manualne testy wykrywają błędy w logice biznesowej oraz złożone scenariusze ataków, których inni nie znajdują. Isabel Group potwierdził: "wciąż znajdują krytyczne luki tam, gdzie inni pentesterzy ich nie wykryli." Nasza 10-letnia specjalizacja w ofensywnym bezpieczeństwie oznacza, że rozumiemy zarówno wymogi regulacyjne, jak i specyfikę testowania systemów krytycznych dla biznesu.