Nasz Research Podatności

Common Vulnerabilities and Exposures

Alarm bezpieczeństwa SAP dla CVE-2025-24870 wskazujący krytyczny poziom zagrożenia dla zarządzania niezabezpieczonymi tajemnicami, ujawniając dane uwierzytelniające w postaci zwykłego tekstu i dostępu do transakcji bankowych i danych korporacyjnych.

Co reprezentuje Nasz Research

Odkrycia, Które Mają Znaczenie

Nasz zespół badawczy przeprowadza inżynierię wsteczną oprogramowania firmowego, aby odnaleźć luki zero-day zagrażające Twojej infrastrukturze - zanim zrobią to atakujący.

Przełamaliśmy Zabezpieczenia Gigantów

Poniższe podatności dotyczą systemów stworzonych i wykorzystywanych przez organizacje: SAP. IBM. Check Point. F5. BMC. Microsoft. Rapid7. CyberArk.

Logo pięciu firm technologicznych: IBM, Check Point, Microsoft, SAP i CyberArk na czarnym tle.

Aktualny Research

Opublikowaliśmy szeroki zakres podatności CVE w różnych branżach - każdej ma przypisany poziom zagrożenia od krytycznego do niskiego. Jesteśmy dumni, że wykrywanie przez nas krytycznych luk CVE w systemach firm takich jak IBM i Microsoft pomaga organizacjom na całym świecie stać się bezpieczniejszymi.

Sortuj przez Poziom zagrożenia
Dziękuję! Twoje zgłoszenie zostało odebrane!
Ups! Coś poszło nie tak podczas przesyłania formularza.
CVE-2024-28797
Poziom zagrożenia
Średni

Stored cross-site scripting in IBM InfoSphere DataStage Designer allows persistent script injection affecting other users

Zobacz więcej
CVE-2024-28795
Poziom zagrożenia
Średni

Stored cross-site scripting in IBM InfoSphere Information Server allows persistent malicious script storage

Zobacz więcej
CVE-2024-28794
Poziom zagrożenia
Średni

Stored cross-site scripting in IBM InfoSphere Information Server via different injection point

Zobacz więcej
CVE-2024-24916
Poziom zagrożenia
Wysoki

DLL hijacking vulnerability in Check Point SmartConsole R82 allows local attackers to execute arbitrary code by placing malicious DLLs

Zobacz więcej
CVE-2024-24915
Poziom zagrożenia
Wysoki

Credential exposure via memory dump in Check Point SmartConsole allows local attackers to extract authentication credentials from process memory

Zobacz więcej
CVE-2024-24816
Poziom zagrożenia
Średni

Cross-site scripting in CKEditor4 preview feature allows script execution when previewing malicious content

Zobacz więcej
CVE-2024-2218
Poziom zagrożenia
Średni

Admin+ stored XSS in LuckyWP Table of Contents WordPress plugin allows administrators to inject persistent scripts

Zobacz więcej
CVE-2024-1606
Poziom zagrożenia
Średni

HTML injection in BMC Control-M enterprise job scheduler allows injection of arbitrary HTML content

Zobacz więcej
CVE-2024-1605
Poziom zagrożenia
Wysoki

DLL side-loading in BMC Control-M allows local attackers to execute arbitrary code via malicious DLLs

Zobacz więcej
CVE-2024-1604
Poziom zagrożenia
Wysoki

Incorrect authorization in BMC Control-M allows users to access functionality beyond their privilege level

Zobacz więcej
CVE-2024-13894
Poziom zagrożenia
Wysoki

Path traversal in Smartwares IP cameras allows remote attackers to read arbitrary files from the device filesystem

Zobacz więcej
CVE-2024-13893
Poziom zagrożenia
Wysoki

Shared default credentials across all Smartwares cameras - compromising one device provides access to all devices

Zobacz więcej
CVE-2024-13892
Poziom zagrożenia
Krytyczny

Command injection in Smartwares IP cameras allows remote attackers to execute arbitrary system commands

Zobacz więcej
CVE-2024-13598
Poziom zagrożenia
Średni

Reflected cross-site scripting in SoftCOM iKSORIS Internet Starter Module via separate vulnerable endpoint

Zobacz więcej
CVE-2024-13597
Poziom zagrożenia
Średni

Reflected cross-site scripting in SoftCOM iKSORIS Internet Starter Module allows script execution via URL manipulation

Zobacz więcej

Najpierw mapujemy Twoje systemy, następnie testujemy jak można je złamać.

Dlatego krytyczne luki zwykle znajdujemy poza pierwotnym zakresem testów - atakujący nie ograniczają się do tego, co jest w dokumentacji.

Zarezerwuj konsultację
arrow_right [#333] Created with Sketch.

Testy Bezpieczeństwa - FAQ

Pytania, które zespoły bezpieczeństwa zadają przed partnerstwem z AFINE.

Czy AFINE posiada certyfikat ISO 27001 i jakie standardy compliance wspieracie?

Tak, AFINE posiada certyfikat ISO 27001. Poza certyfikacją ISO utrzymujemy najwyższe standardy bezpieczeństwa operacyjnego wypracowane podczas 10 lat pracy z korporacjami. Nasze audyty bezpieczeństwa wspierają zgodność z DORA, PCI DSS, SOC 2, ISO 27001, TIBER-EU, NESA oraz FCA. Przeprowadziliśmy setki audytów dla regulowanych instytucji takich jak PKO BP, ING Bank czy BGK.

Jakie certyfikaty i specjalistyczną wiedzę posiada zespół AFINE?

Każdy członek zespołu posiada minimum certyfikat OSCP lub eWPTX. Nasi badacze mają średnio 7-10 lat doświadczenia w ofensywnym bezpieczeństwie z certyfikatami OSCE, OSWE, OSED, OSEP, CRTO, CSSA, CISSP, CISA oraz BSCP. Opublikowaliśmy CVE w oprogramowaniu SAP, Microsoft, CyberArk, Palo Alto, F5, IBM i innych rozwiązaniach korporacyjnych.

Co wyróżnia AFINE na tle innych firm oferujących testy bezpieczeństwa?

Opublikowaliśmy ponad 150 CVE w oprogramowaniu korporacyjnym i rozumiemy, jak atakujący wykorzystują złożone systemy - wykraczając daleko poza automatyczne skany. Nasze manualne testy wykrywają błędy w logice biznesowej oraz złożone scenariusze ataków, których inni nie znajdują. Isabel Group potwierdził: "wciąż znajdują krytyczne luki tam, gdzie inni pentesterzy ich nie wykryli." Nasza 10-letnia specjalizacja w ofensywnym bezpieczeństwie oznacza, że rozumiemy zarówno wymogi regulacyjne, jak i specyfikę testowania systemów krytycznych dla biznesu.