Unsere Sicherheitsexperten finden bei Penetrationstests laufend neue, bisher unbekannte (Zero-Day) Schwachstellen. Sofern diese nicht einen unserer Kunden direkt, sondern einen Hersteller, welcher im öffentlichen Interesse steht, betreffen, melden wir Details zur gefundenen Zero-Day Schwachstelle ausschließlich dem Hersteller der Komponente. Diesem wird zum Schutze der Kunden eine angemessene Zeitspanne nach dem „Responsible Disclosure“-Verfahren zur Behebung des Problems, sowie dem Ausrollen der entsprechenden Patches auf dessen Kundensystemen gewährt, bevor Details zur Schwachstelle veröffentlicht werden.
Nachfolgend ein Auszug entsprechender vom AIT gefundener Zero-Day Schwachstellen:
- SexyPolling: SQL Injection (Englisch; Date: 08.04.2022)
- ForkCMS: PHP Object Injection (Englisch; Date: 15.02.2021)
- QCubed: Cross Site Scripting (Englisch; Date: 15.02.2021)
- QCubed: SQL Injection (Englisch; Date: 15.02.2021)
- QCubed: PHP Object Injection (Englisch; Date: 15.02.2021)
- Creative Contact Form: Directory Traversal (Englisch; Date: 01.03.2020)
- FreeRadius: Privilege Escalation via Logrotate (Englisch; Date: 05.11.2019)
- Privilege Escalation via Logrotate in Gitlab Omnibus (Englisch; Date: 30.09.2019)
- OkayCMS: Unauthenticated remote code execution (Englisch; Date: 29.09.2019)
- LXC CVE-2016-8649 Directory Traversal Vulnerability (Englisch; Date: 24.11.2016)
- LXC CVE-2015-1335 Directory Traversal Vulnerability (Englisch; Date: 02.02.2016)
- LXC CVE-2015-1331 Local Directory Traversal Vulnerability (Englisch; Date: 12.08.2015)
- LXC '/lxc/attach.c' Remote Code Execution Vulnerability (Englisch; Date: 12.08.2015)