Unsere Sicherheitsexperten finden bei Penetrationstests laufend neue, bisher unbekannte (Zero-Day) Schwachstellen. Sofern diese nicht einen unserer Kunden direkt, sondern einen Hersteller, welcher im öffentlichen Interesse steht, betreffen, melden wir Details zur gefundenen Zero-Day Schwachstelle ausschließlich dem Hersteller der Komponente. Diesem wird zum Schutze der Kunden eine angemessene Zeitspanne nach dem „Responsible Disclosure“-Verfahren zur Behebung des Problems, sowie dem Ausrollen der entsprechenden Patches auf dessen Kundensystemen gewährt, bevor Details zur Schwachstelle veröffentlicht werden.
Nachfolgend ein Auszug entsprechender vom AIT gefundener Zero-Day Schwachstellen:
- Decidim: Stored XSS in embedded URLs for Decidim Meetings (AIT-20241113-01)
- Decidim-Awesome: SQL injection in AdminAccountability (AIT-SA-20241112-01)
- FIWARE Keyrock: Command Injection in Organisationname (AIT-SA-20240514-05)
- FIWARE Keyrock: Command Injection in Applicationname (AIT-SA-20240514-04)
- FIWARE Keyrock: Activation of any new user (AIT-SA-20240514-03)
- FIWARE Keyrock: Deactivate 2-factor-auth of any user (AIT-SA-20240514-02)
- FIWARE Keyrock: Manipulate passwords of any user (AIT-SA-20240514-01)
- Decidim: Cross Site Scripting (AIT-SA-20240630-01)
- SexyPolling: SQL Injection (AIT-SA-20220208-01)
- ForkCMS: PHP Object Injection (AIT-SA-20210215-04)
- QCubed: Cross Site Scripting (AIT-SA-20210215-03)
- QCubed: SQL Injection (AIT-SA-20210215-02)
- QCubed: PHP Object Injection (AIT-SA-20210215-01)
- Creative Contact Form: Directory Traversal (AIT-SA-20200301-01)
- FreeRadius: Privilege Escalation via Logrotate (AIT-SA-20191112-01)
- Privilege Escalation via Logrotate in Gitlab Omnibus (AIT-SA-20190930-01)
- OkayCMS: Unauthenticated remote code execution (AIT-SA-20191129-01)
- LXC CVE-2016-8649 Directory Traversal Vulnerability (CVE-2016-8649)
- LXC CVE-2015-1335 Directory Traversal Vulnerability (CVE-2015-1335)
- LXC CVE-2015-1331 Local Directory Traversal Vulnerability (CVE-2015-1331)
- LXC '/lxc/attach.c' Remote Code Execution Vulnerability (CVE-2015-1334)