Viele Organisationen stehen vor demselben Muster: wenige AppSec-Expert:innen, viele Developer unter hohem Delivery-Druck. Wenn Security erst kurz vor dem Go-Live ansetzt, blockieren zu spät gefundene Security Probleme geplante Releases. Hochqualifizierte Security Expert:innen verlieren wertvolle Zeit mit Low-Risk-Rauschen zahlreicher Security Testing Tools statt sich auf Architektur, Threat-Modeling und wirklich kritische Schwachstellen zu konzentrieren. Die Lösung ist ein echter Shift-Left Ansatz in der Softwareentwicklung. Security-Kompetenz dorthin verlagern, wo Code entsteht, Feedback früh automatisieren und das Ganze zentral orchestrieren. Genau dafür kombinieren wir mgm ATLAS als ASPM-Plattform mit Beratung, Integration und Testing aus einer Hand. Mehr…

In a recent customer project, we identified a critical Spring Expression Language (SpEL) injection vulnerability leading to Remote Code Execution (RCE). In this case, the vulnerability could not be exploited directly but had to be confirmed and exploited using blind or Out-of-Band (OOB) techniques. Mehr…

Bei der Sicherheitsanalyse von IoT-Geräten lohnt sich oft ein genauerer Blick auf die Hardware. Im letzten Teil unserer Blogserie nehmen wir die serielle UART-Schnittstelle der IoT-Kamera unter die Lupe. Mehr…

Im ersten Teil sind wir darauf eingegangen, wie die Firmware aus dem Gerät ausgelesen werden kann. In diesem Beitrag soll es nun darum gehen, die Firmware näher zu betrachten, um potenzielle Schwachstellen zu identifizieren, die Zugriff auf das laufende System ermöglichen. Mehr…

Cross-prompt injection and Markdown-based data exfiltration are known vulnerabilities in LLM systems.

We discovered these weaknesses in AnythingLLM – a popular, freely available framework for integrating LLMs. However, the combination of these two vulnerabilities turns out to be far more serious in this context. Malicious instructions entered through one chat influences all other chats within the same workspace. An attacker would be able to steal information from other chats or manipulate them. Mehr…

„Drone Harmony for DJI Dock“ ist eine von Drone Harmony AG entwickelte Anwendung, mit der Benutzer Flugrouten für Drohneninspektionen festlegen, den Livestream der Drohne anzeigen und die Drohne in Echtzeit steuern können. Um die Sicherheit beim Einsatz dieser Softwarelösung zu gewährleisten, wurde mgm security partners im Dezember 2024 von ihrem Kunden Vattenfall mit der Durchführung eines Penetrationstests beauftragt. Als Ergebnis dieses umfassenden Penetrationstests wurden mehrere Schwachstellen von mgm security partners identifiziert und von Drone Harmony behoben. Mehr…