mgm security partners

Blog & News

Artikel im Java Magazin: Neuer Glanz für SAST

Mirko Richter zeigt in seinem aktuellen Artikel, wie die Kombination aus statischer Quellcodeanalyse (SAST) und modernen Large-Language-Modellen (LLMs) das Sicherheitsmanagement in Softwareprojekten revolutionieren kann.

Missing rotation of the organization key

In Vaultwarden version 1.30.3 (or earlier) the missing rotation of the organization key, allowing access to organization secrets despite revoked access, was identified. We have reported this vulnerability to the developer, who addressed the issue and fixed the vulnerability in version 1.32.0.

Missing authentication check for emergency access

A missing authentication check, allowing to alter metadata of an emergency access, was found in Vaultwarden version 1.30.3 (or earlier). We have reported this vulnerability to the developer, who addressed the issue and fixed the vulnerability in version 1.32.0.

HTML Injection in Vaultwarden

An HTML injection vulnerability was found in Vaultwarden version 1.30.3 (or earlier). We have reported this vulnerability to the developer, who addressed the issue and fixed the vulnerability in version 1.32.0.

Denial of Service in TYPO3 Bookmark Toolbar

TYPO3 through 12.4.6 allows, due to insufficient input validation, manipulated data saved in the bookmark toolbar of the backend user interface causes a general error state, blocking further access to the interface. Exploiting this vulnerability requires an administrator-level backend user account.

News: Sicherheit von Vaultwarden und Keepass für das BSI analysiert

16.10.24 - Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir den Quellcode der Passwort-Manager Vaultwarden und Keepass mit dem Mittel der Statischen Codeanalyse auf deren Sicherheit untersucht.

News: Sicherheit von Matrix und Mastodon für das BSI analysiert

02.09.24 - Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir den Quellcode der Open-Source-Anwendungen Mastodon und Matrix mit dem Mittel der Statischen Codeanalyse auf deren Sicherheit untersucht.

Talk auf der W-JAX: »Toolgestützte Quellcodeanalysen powered by LLMs« am 06.11.24

In dem Talk stellen wir unseren Ansatz vor, wie man klassisch ausgereifte (Closed- und OpenSource) Scan-Software (SAST, SCA...) mit den Fähigkeiten moderner Large-Language-Modelle (LLM) kombinieren kann. Zur Ermittlung empirischer Daten haben wir viele tausende Findings manuell und per LLM ausgewertet und die Ergebnisse verglichen.

Talk auf der heise devsec: »Risiken für generative KI zum Verstehen und Mitnehmen« am 25.09.24

OWASP Top 10 for LLMs | Erkenntnisse aus internen und externen LLM-Experimenten | Vergleichen von Bedrohungen für LLMs mit denen für "herkömmliche KI" | LLM-Security in Bezug zu den bekannten und KI-unabhängigen Paradigmen für Anwendungssicherheit.

Talk auf dem IT Security Summit: »LLM @ Quellcodeanalyse« am 16.06.24

Mirko Richter berichtet am 16.06.2024 auf dem IT Security Summit in Berlin über seine (positiven!) Erfahrungen beim Einsatz von LLMs bei der Statischen Sicherheitscodeanalyse (SAST).

CVE: Reflected XSS in Sidekiq Unique Jobs UI

03.01.24 - A reflected cross-site scripting vulnerability was found in sidekiq-unique-jobs version 8.0.6 (or earlier). We have reported this vulnerability to the developer, who addressed the issue and fixed the vulnerability in version 8.0.7.

IsarFlow stored cross-site scripting vulnerability

A stored cross-site scripting vulnerability was found in the IsarFlow software version 5.23 (or earlier) of IsarNet Software Solutions GmbH. We have reported this vulnerability to the software vendor, who immediately addressed the issue and fixed the vulnerability in versions 5.25.14 and 5.26.4.

Multiple vulnerabilities in Syncovery for Linux (CVE-2022-36536 / CVE-2022-36533 / CVE-2022-36533 / CVE-2022-36534)

Multiple vulnerabilities were found in Syncovery for Linux backup tool. We’ve reported them to the software vendor and they were fixed in version 9.48j. Vulnerable are all versions below v9.48j including all versions of branch 8.

BigBlueButton Cross-site-scripting vulnerability (CVE-2022-27238) || 2022

BigBlueButton version 2.4.7 (or earlier) is vulnerable to stored Cross-Site Scripting (XSS) in the private chat functionality.

BigBlueButton Greenlight Cross-site-scripting vulnerability (CVE-2022-26497) || 2022

BigBlueButton’s front-end interface Greenlight version 2.11.2 (or earlier) is vulnerable to stored Cross-Site Scripting (XSS).

LiveConfig 2.12.2 vulnerabilities || 2022

Two vulnerabilities were found in the LiveConfig – 2.12.2 software. We’ve reported both of them to the software vendor and they were fixed in version 2.13.0