Nasz Research Podatności

Common Vulnerabilities and Exposures

Alarm bezpieczeństwa SAP dla CVE-2025-24870 wskazujący krytyczny poziom zagrożenia dla zarządzania niezabezpieczonymi tajemnicami, ujawniając dane uwierzytelniające w postaci zwykłego tekstu i dostępu do transakcji bankowych i danych korporacyjnych.

Co reprezentuje Nasz Research

Odkrycia, Które Mają Znaczenie

Nasz zespół badawczy przeprowadza inżynierię wsteczną oprogramowania firmowego, aby odnaleźć luki zero-day zagrażające Twojej infrastrukturze - zanim zrobią to atakujący.

Przełamaliśmy Zabezpieczenia Gigantów

Poniższe podatności dotyczą systemów stworzonych i wykorzystywanych przez organizacje: SAP. IBM. Check Point. F5. BMC. Microsoft. Rapid7. CyberArk.

Logo pięciu firm technologicznych: IBM, Check Point, Microsoft, SAP i CyberArk na czarnym tle.

Aktualny Research

Opublikowaliśmy szeroki zakres podatności CVE w różnych branżach - każdej ma przypisany poziom zagrożenia od krytycznego do niskiego. Jesteśmy dumni, że wykrywanie przez nas krytycznych luk CVE w systemach firm takich jak IBM i Microsoft pomaga organizacjom na całym świecie stać się bezpieczniejszymi.

Sortuj przez Poziom zagrożenia
Dziękuję! Twoje zgłoszenie zostało odebrane!
Ups! Coś poszło nie tak podczas przesyłania formularza.
CVE-2025-1982
Poziom zagrożenia
Wysoki

Local file inclusion in Ready_ Symfonia eDokumenty allows attackers to read arbitrary files from the server filesystem

Zobacz więcej
CVE-2025-1981
Poziom zagrożenia
Krytyczny

SQL injection in Ready_ Symfonia eDokumenty allows attackers to execute arbitrary SQL queries against the backend database

Zobacz więcej
CVE-2025-1980
Poziom zagrożenia
Krytyczny

Remote code execution in Ready_ Symfonia eDokumenty allows unauthenticated attackers to execute arbitrary commands on the server

Zobacz więcej
Nie znaleziono żadnych przedmiotów.
CVE-2025-15523
Poziom zagrożenia
Średni

TCC Bypass via Inherited Permissions in Bundled Interpreter in Inkscape.app

Zobacz więcej
Nie znaleziono żadnych przedmiotów.
CVE-2025-14714
Poziom zagrożenia
Niski

TCC Bypass via Inherited Permissions in Bundled Interpreter

Zobacz więcej
CVE-2025-1421
Poziom zagrożenia
Niski

Remote code execution via CSV injection in Proget Console - activation data containing malicious formulas executes when opened in Excel

Zobacz więcej
CVE-2025-1420
Poziom zagrożenia
Niski

Stored XSS via unsanitized activation messages in Proget Console allows attackers to execute JavaScript in victim browsers

Zobacz więcej
CVE-2025-1419
Poziom zagrożenia
Niski

Stored cross-site scripting in Proget Console comments allows high-privileged users to inject malicious scripts affecting other administrators

Zobacz więcej
CVE-2025-1418
Poziom zagrożenia
Średni

Authorization bypass in Proget MDM allows low-privileged users to access MDM profiles revealing allowed and blocked device features

Zobacz więcej
CVE-2025-1417
Poziom zagrożenia
Średni

Insecure direct object reference in Proget MDM allows low-privileged users to view sensitive backup data including UUIDs, names, and emails

Zobacz więcej
CVE-2025-1416
Poziom zagrożenia
Wysoki

Authorization bypass in Proget MDM allows low-privileged users to retrieve device passwords using UUIDs obtained from other vulnerabilities

Zobacz więcej
CVE-2025-1415
Poziom zagrożenia
Średni

Broken access control in Proget MDM allows low-privileged users to enumerate task and device details including UUIDs via brute-force

Zobacz więcej
CVE-2025-1413
Poziom zagrożenia
Wysoki

Dylib hijacking in DaVinci Resolve allows local attackers to execute arbitrary code with application privileges

Zobacz więcej
Nie znaleziono żadnych przedmiotów.
CVE-2025-13175
Poziom zagrożenia
Średni

Insecure Password Storage in Y Soft SafeQ 6

Zobacz więcej
CVE-2025-10016
Poziom zagrożenia
Wysoki

Local privilege escalation vulnerability in Sparkle autoupdate daemon allows local attackers to elevate privileges to root on macOS systems

Zobacz więcej

Najpierw mapujemy Twoje systemy, następnie testujemy jak można je złamać.

Dlatego krytyczne luki zwykle znajdujemy poza pierwotnym zakresem testów - atakujący nie ograniczają się do tego, co jest w dokumentacji.

Zarezerwuj konsultację
arrow_right [#333] Created with Sketch.

Testy Bezpieczeństwa - FAQ

Pytania, które zespoły bezpieczeństwa zadają przed partnerstwem z AFINE.

Czy AFINE posiada certyfikat ISO 27001 i jakie standardy compliance wspieracie?

Tak, AFINE posiada certyfikat ISO 27001. Poza certyfikacją ISO utrzymujemy najwyższe standardy bezpieczeństwa operacyjnego wypracowane podczas 10 lat pracy z korporacjami. Nasze audyty bezpieczeństwa wspierają zgodność z DORA, PCI DSS, SOC 2, ISO 27001, TIBER-EU, NESA oraz FCA. Przeprowadziliśmy setki audytów dla regulowanych instytucji takich jak PKO BP, ING Bank czy BGK.

Jakie certyfikaty i specjalistyczną wiedzę posiada zespół AFINE?

Każdy członek zespołu posiada minimum certyfikat OSCP lub eWPTX. Nasi badacze mają średnio 7-10 lat doświadczenia w ofensywnym bezpieczeństwie z certyfikatami OSCE, OSWE, OSED, OSEP, CRTO, CSSA, CISSP, CISA oraz BSCP. Opublikowaliśmy CVE w oprogramowaniu SAP, Microsoft, CyberArk, Palo Alto, F5, IBM i innych rozwiązaniach korporacyjnych.

Co wyróżnia AFINE na tle innych firm oferujących testy bezpieczeństwa?

Opublikowaliśmy ponad 150 CVE w oprogramowaniu korporacyjnym i rozumiemy, jak atakujący wykorzystują złożone systemy - wykraczając daleko poza automatyczne skany. Nasze manualne testy wykrywają błędy w logice biznesowej oraz złożone scenariusze ataków, których inni nie znajdują. Isabel Group potwierdził: "wciąż znajdują krytyczne luki tam, gdzie inni pentesterzy ich nie wykryli." Nasza 10-letnia specjalizacja w ofensywnym bezpieczeństwie oznacza, że rozumiemy zarówno wymogi regulacyjne, jak i specyfikę testowania systemów krytycznych dla biznesu.