Aktualności

Zapraszamy do nowego wydania Weekendowej Lektury. Tym razem także nie zabrakło materiału do analizy – poniżej znajdziecie kilkadziesiąt linków, które mogą zapewnić wam zajęcie na resztę weekendu. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej drugi odcinek retro-podcastu Informatyka Zakładowego (pkt 1) oraz opowieść o grupie Conti, która zmieniła cyberataki w wielki biznes online (pkt […]

W oprogramowaniu PAC4J wykryto 2 podatności różnego typu (CVE-2026-40458, CVE-2026-40459)

W oprogramowaniu GREENmod wykryto podatność typu Server-Side Request Forgery (SSRF) (CVE-2026-5131).

Dziś na naszą redakcyjną skrzynkę spłynął ciekawy i — podkreślmy — prawdziwy e-mail od Mety, właściciela Facebooka: Wczujcie się w administratora jakiegoś fanpage. E-mail dotyczy blokady strony w ciągu 24 godzin. E-mail jest wysłany z prawdziwego adresu i nie wpada do spamu. E-mail trafia na adres przypisany do danego fanpage (atakujący nie zna tego adresu, wiadomość wysyła Facebook […]

W projekcie MCPHub wykryto podatność typu Authorization Bypass (CVE-2025-13822).

Zapraszamy do nowego wydania Weekendowej Lektury, dzięki któremu dowiecie się, co ważnego i ciekawego wydarzyło się w minionym tygodniu w zakresie cyberbezpieczeństwa i prywatności. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej debatę „Twórcy cyfrowi o cyberbezpieczeństwie”, która odbyła się podczas konferenci Secure 2026 (pkt 1). W części technicznej spójrzcie na świeżo wydany raport roczny […]

W oprogramowaniu Hydrosystem Control System wykryto 3 podatności różnego typu (CVE-2026-4901, CVE-2026-34184, CVE-2026-34185)

Za nami kolejny rok działania zespołu CERT Polska. Był on wyjątkowy, ponieważ wieńczył trzecią dekadę naszej działalności – świętujemy właśnie 30. urodziny! Rok 2025 to czas pełen wyzwań, rozwoju i kształtowania cyberbezpieczeństwa w kompleksowy sposób – od proaktywnych działań na rzecz wykrywania zagrożeń, poprzez obsługę zgłoszeń i reagowanie na incydenty aż po dzielenie się wiedzą i budowanie świadomości społecznej.

W oprogramowaniu Mlflow wykryto 2 podatności różnego typu (CVE-2026-33865, CVE-2026-33866)

W oprogramowaniu Bludit wykryto podatność typu Stored Cross-site Scripting (CVE-2026-4420).

Wstrzykiwanie wrogich, czyli zapętlonych hiperlinkami miałkich treści, które mają zapchać i ogłupić AI, to tylko jeden ze sposobów oszukiwania agentów AI wchodzących na strony internetowe. Oczywiście treści te nie są widzialne dla zwykłych użytkowników. A jakie są inne sposoby wystrychiwania AI na dudka? I czy mogą one wpływać tylko na konkretne agenty? Próbę stworzenia klasyfikacji […]

Zapraszamy do nowego wydania Weekendowej Lektury, życząc udanego świętowania tym, którzy świętują, a tym, którzy tego nie robią, po prostu przyjemnego odpoczynku, a poza tym oczywiście miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej rozmowę z Adamem Haertle w podcaście Kamila Porembińskiego (pkt 1) oraz nowy przewodnik Fundacji Panoptykon „Jak DSA chroni cię w […]

CERT Polska przeanalizował wieloetapowy łańcuch złośliwego oprogramowania na Androida, dystrybuowany z wykorzystaniem infrastruktury podszywającej się pod Booking. Opisana próbka pełni rolę droppera, który instaluje RAT oparty na usługach ułatwień dostępu i komunikujący się z serwerem C2 przez WebSocket.

Co łączy dostawcę gazu, firmę telekomunikacyjną i centrum medyczne? Takie firmy wysyłają do swoich klientów maile z linkami do płatności. Niestety nie służy budowaniu dobrych nawyków w przeciwdziałaniu phishingowi. Niewiele też wskazuje na to, aby to się miało zmienić. Problem linków w e-mailach To jest na swój sposób fascynujące. Firmy płacą za szkolenia z bezpieczeństwa. […]

W oprogramowaniu Szafir wykryto 2 podatności różnego typu (CVE-2026-26927, CVE-2026-26928)

Oprogramowanie na twoim komputerze korzysta z Node’a? I masz w paczkę axiosa jako zależność? Rzuć wszystko i sprawdź z jakiej wersji korzystasz. Ktoś wstrzyknął do tej biblioteki złośliwy kod. Jeśli ją pobrałeś, Twój sprzęt i klucze chmurowe są w rękach przestępców. Co się stało? Właśnie odkryto kolejny poważny atak na łańcuch dostaw. Tym razem oberwała popularna biblioteka […]

CERT Polska przeanalizował próbkę szkodliwego oprogramowania wykorzystującego wizerunek banku SGB, pochodzącą z kampanii FvncBot wycelowanej w polskich odbiorców. Złośliwa aplikacja instaluje dodatkowe moduły, przekonuje ofiarę do uruchomienia funkcji ułatwień dostępu, a następnie łączy zainfekowane urządzenie z serwerem wydającym przypisane do tego urządzenia dane logowania.

W oprogramowaniu Robolinho Update Software wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-1612).

Każdy, kto korzysta z komputera, smartfona i internetu powinien wiedzieć jak robić to bezpiecznie. Od lat, tego jak “nie dać się zhackować” uczymy nie tylko pracowników największych polskich firm na szkoleniach zamkniętych odbywających się w ich siedzibach, ale także każdego kto chce — wystarczy wpaść na nasz 3 godzinny, pełen praktycznych porad i widowiskowych pokazów wykład. Właśnie ruszamy w […]

Zapraszamy do nowego wydania Weekendowej Lektury. Zgromadziliśmy sporo ciekawych linków zarówno w części fabularnej, jak i technicznej, jest więc szansa, że każdy znajdzie coś dla siebie. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej nowy odcinek podcastu Techstorie pokazujący, jak działają fabryki internetowych scamów (pkt 1). W części technicznej spójrzcie na doniesienia o tym, że […]

W oprogramowaniu Bludit wykryto 3 podatności różnego typu (od CVE-2026-25099 do CVE-2026-25101)

Wczoraj, 24 marca, na oficjalnym repozytorium PyPI pojawiła się złośliwa wersja szalenie popularnej biblioteki LiteLLM (wersje 1.82.7 oraz 1.82.8). Czym jest LiteLLM? To opensource’owa “bramka”, która ułatwia programistom łączenie się z wieloma modelami językowymi (LLM) za pomocą jednego interfejsu API. To nie jest niszowy projekt, paczka ma na liczniku ponad 97 milionów pobrań. Wystarczyło zainstalować. […]

Sztuczna inteligencja nie tylko pisze kod. Zaczęła go również skutecznie atakować. Na przełomie lutego i marca autonomiczny bot o nazwie “hackerbot-claw” wziął sobie na celownik największe repozytoria na GitHubie. Oprogramowanie napędzane przez model Claude-Opus-4.5, samodzielnie skanowało publiczne projekty, wykrywało luki i skutecznie wyexploitowało (RCE) infrastruktury 4 firm, w tym Microsoftu. Jak wygląda hacking na autopilocie? […]

Mandiant opublikował swój coroczny raport M-Trends. Raport, wbrew oczekiwaniom niektórych, nie stoi pod znakiem “AI niszczy świat”. Wnioski są dużo bardziej prozaiczne, a jednocześnie przerażające. AI faktycznie pomaga atakującym (głównie w socjotechnice i pisaniu malware’u omijającego detekcję), ale przytłaczająca większość udanych włamań to wciąż wynik błędów ludzkich i systemowych. Oto najciekawsze smaczki, które warto znać […]

Podsyłacie nam informacje o tym, że na jednym z cyberprzestępczych kanałów na Telegramie pojawiło się ogłoszenie sprzedaży bazy danych OVH, która miała zostać rzekomo wykradziona z “OVH parent’s account” (cokolwiek przez to rozumie autor). W pozyskanych danych ma rzekomo być: 1.6 milionów rekordów dotyczących "świeżych klientów" OVH 5.9 milionów informacji dot. hostowanych stron Zwracamy jednak […]

W ubiegłym tygodniu badacze cyberbezpieczeństwa ujawnili sporych rozmiarów kampanię wymierzoną w użytkowników niezaktualizowanych urządzeń Apple. Ataki realizowano za pomocą narzędzia DarkSword, które dotychczas było w rękach zaawansowanych grup przestępczych. Ale właśnie wyciekło do sieci i każdy może je pobrać z GitHuba. Skopiuj, wklej, atakuj DarkSword to zestaw exploitów na iOS, który jest dość prosty w […]

14 marca Intoxalock, amerykańska firma dostarczająca samochodowe blokady alkoholowe padła ofiarą cyberataku. W efekcie tysiące kierowców w aż 46 stanach USA straciło możliwość uruchomienia swoich pojazdów. Blokady alkoholowe podłączone do internetu, cóż mogło pójść nie tak… Blokady alkoholowe to urządzenia montowane w pojazdach, najczęściej na mocy nakazu sądowego dla osób skazanych za jazdę pod wpływem […]

Rosja po raz kolejny podkręca restrykcje w dostępie do internetu. Jak donosi serwis CNN, działania władz na Kremlu skutkują masowymi przerwami w dostępie do sieci. Tym razem jednak nie chodzi (tylko) o to, aby Rosjanie dowiedzieli się, jak wygląda prawda prezentowana na zachodnich portalach. Przerwy w dostępie do internetu mają na celu utrudnienie ataków na rosyjskie […]

W oprogramowaniu KlinikaXP i KlinikaXP Insertino wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-1958).

Wyobraźcie sobie taką sytuację: jedziecie autonomiczną taksówką, gdy nagle agresywny przechodzień zastępuje Wam drogę i zaczyna walić w szyby, grożąc śmiercią. Nomalny, białkowy kierowca (czyt. człowiek) wcisnąłby gaz do dechy i odjechał. Ale w autonomiczna taksówka Waymo kierowcy nie ma, a jej algorytm jest w takich sytuacjach bezlitosny: “widzę człowieka blisko maski, nie mogę ruszyć”. […]

Zapraszamy do nowego wydania Weekendowej Lektury. Znajdziecie tu, jak zwykle, istotne informacje z obszaru cyberbezpieczeństwa i prywatności obejmujące miniony tydzień. Dajcie znać w komentarzach, które tematy okazały się dla Was najciekawsze. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej doniesienia o tym, że systemy AI wykorzystywane przez polskie służby specjalne nie będą podlegać nowemu […]

Mamy kolejny incydent z aplikacją Strava, która służy do trackingu aktywności sportowych. Tym razem wpadkę zaliczyli nie Amerykanie a Francuzi z lotniskowca “Charles de Gaulle”: Ale zanim zaczniecie pisać “jakież to było nieodpowiedzialne i groźne zachowanie!“, warto zwrócić uwagę, że lotniskowce to nie okręty podwodne i do najmniejszych nie należą. Innymi słowy: łatwo można je zlokalizować za pomocą […]

Konferencja SECURE, organizowana przez NASK, to jedyna taka impreza w Polsce. Nie dość, że jest to najstarsza konferencja poświęcona bezpieczeństwu w Polsce (w tym roku odbywa się po raz 29), to można w niej wziąć udział za darmo. Czy warto? Jeszcze jak! Agnieszka Gryszczyńska, Kacper Szurek, Michał Sajdak, Paweł Maziarz, Maciej Broniarz, Kamil Bojarski, Kamil […]

W oprogramowaniu Befree SDK wykryto podatność typu Cross-site Scripting (CVE-2025-12518).

W oprogramowaniu Raytha wykryto 11 podatności różnego typu (CVE-2025-15540 oraz od CVE-2025-69236 do CVE-2025-69243 oraz od CVE-2025-69245 do CVE-2025-69246)

CERT Polska otrzymał zgłoszenia dotyczące 2 podatności (CVE-2025-11500 oraz CVE-2025-15587) wykrytych w wielu urządzeniach tinycontrol (tcPDU oraz LAN Controllers: LK3.5, LK3.9 i LK4).

Zapraszamy do nowego wydania Weekendowej Lektury. Mamy nadzieję, że mimo lekkiego opóźnienia z naszej strony znajdziecie czas na ogarnięcie zebranych linków pokazujących aktualny krajobraz cyberzagrożeń. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej pierwszy odcinek retro-podcastu Informatyka Zakładowego (pkt 2) oraz artykuł o tym, jak irańscy haktywiści zaatakowali producenta sprzętu medycznego Stryker (pkt 12). […]

W oprogramowaniu Streamsoft Prestiż wykryto podatność polegającą na słabym kodowaniu tokenów (CVE-2026-0809).

Zespół CERT Polska świętuje 30-lecie swojej działalności. Przez trzy dekady zmieniło się niemal wszystko. Internet, z którego w latach 90. korzystała niewielka grupa użytkowników, dziś jest podstawową przestrzenią, dzięki której funkcjonuje wiele aspektów naszego życia. Wraz z jego rozwojem pojawiają się jednak nowe zagrożenia, co jeszcze lepiej pokazuje dlaczego potrzebujemy zespołów takich jak nasz.

W oprogramowaniu Coppermine Photo Gallery wykryto podatność typu Path Traversal (CVE-2026-3013).

Zapraszamy do nowego wydania Weekendowej Lektury. Skoro tu zaglądacie, to stęskniliście się pewnie za stertą linków, które umożliwią zorientowanie się w aktualnym krajobrazie czyhających na was zagrożeń. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej artykuł o tym, jak przejęcie 330 domen osłabiło kampanie phishingowe z użyciem Tycoon 2FA (pkt 12). W części technicznej spójrzcie […]

W oprogramowaniu QuickCMS wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2026-1468).

W IT też bywa sezon ogórkowy. Tyle że zamiast ogórków mamy zaległe tickety, niedokończone migracje i alerty. Gdzieś między kolejnym zgłoszeniem na helpdesku a odkładaną aktualizacją zaczynasz się zastanawiać, czy w tym zawodzie chodzi jeszcze o coś więcej niż gaszenie pożarów i czy wiedza, którą zbierasz latami, nadal ma jakieś znaczenie… Ma! Tylko trzeba ją […]

W oprogramowaniu DobryCMS wykryto 2 podatności różnego typu (CVE-2025-12462 oraz CVE-2025-14532)

W oprogramowaniu CGM CLININET oraz CGM NETRAAD wykryto 8 podatności różnego typu.

Zapraszamy do nowego wydania Weekendowej Lektury. Nie zawsze jesteśmy w stanie przygotować je już w piątek, ale tym razem mocno się sprężyliśmy i oto jest nowa porcja linków do ciekawych informacji z minionego tygodnia. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej informacje o zarzutach dla byłych szefów ABW i SKW w śledztwie dotyczącym Pegasusa […]

W oprogramowaniu Pro3W CMS wykryto podatność typu SQL Injection (CVE-2025-15498).

W oprogramowaniu PluXml CMS wykryto 3 podatności różnego typu (od CVE-2026-24350 do CVE-2026-24352)

W oprogramowaniu Omega-PSIR wykryto podatność typu Cross-site Scripting (CVE-2026-1434).

W oprogramowaniu Simple.ERP wykryto podatność typu SQL Injection (CVE-2026-1198).

W wielu programach Finka wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-13776).

W wielu urządzeniach firmy Slican wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-14577).

Zapraszamy do nowego wydania Weekendowej Lektury. Opisy nowych zmagań badaczy z cyberprzestępcami, szczegóły świeżo odkrytych luk, analizy nowych kampanii – każdy znajdzie coś dla siebie. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej artykuły o wykorzystaniu następcy Pegasusa, czyli Predatora, przeciwko dziennikarzowi w Angoli (pkt 8), natomiast oprogramowanie Cellebrite zostało użyte przez władze przeciwko […]

Pomogliśmy dużej organizacji w analizie infekcji malware spowodowanej przez Fake CAPTCHA. W tym raporcie podsumowujemy nasze obserwacje oraz publikujemy szczegółową analizę znalezionego złośliwego oprogramowania.

27 stycznia w komisji w Senacie przyjęto projekt ustawy o zmianie ustawy o krajowym systemiecyberbezpieczeństwa (dalej: KSC) bez poprawek w stosunku do tekstu przyjętego w Sejmie. Oznacza to,że aktualnie ustawa została przekazana do podpisu Prezydentowi RP, który decyzję o jej dalszych losachmusi podjąć do 19 lutego 2026 r. W trakcie prac parlamentarnych pierwotny, skierowany do […]

Ponad pół miliona podatności udało się znaleźć dzięki udostępnieniu serwisu moje.cert.pl. To darmowe narzędzie, z którego korzysta już niemal 16 tysięcy użytkowników. To też ponad 19 tysięcy stron, które należą do instytucji, firm i osób prywatnych, których administratorzy podjęli działania na rzecz bezpieczeństwa swojego, a nierzadko także swoich klientów.

W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2026-23796 i CVE-2026-23797)

W aplikacji mObywatel na system iOS wykryto podatność sktutkującą ujawnieniem danych osobowych nieuwierzytelnionemu atakującemu (CVE-2025-11598).

W oprogramowaniu EAP Legislator wykryto podatność pozwalającą na rozpakowanie archiwum plików poza katalogiem docelowym (CVE-2026-1186).

Zespół CERT Polska przedstawia raport z analizy incydentu w sektorze energii, do którego doszło 29 grudnia 2025 roku. Ataki miały charakter destrukcyjny i były wymierzone w farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz przedsiębiorstwo z sektora produkcyjnego. Publikacja ma na celu podniesienie świadomości na temat ryzyka związanego z dywersją w cyberprzestrzeni.

W oprogramowaniu routera LV-WR21Q wykryto 2 podatności różnego typu (CVE-2025-12386 oraz CVE-2025-12387)

W aplikacji Inkscape na system MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-15523).

W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2025-67683 oraz CVE-2025-67684)

W aplikacji mobilnej Crazy Bubble Tea wykryto możliwość uzyskania danych osobowych innych użytkowników (CVE-2025-14317).

W oprogramowaniu Ysoft SafeQ 6 wykryto podatność polegająca na nieskutecznym maskowaniu hasła (CVE-2025-13175).

W oprogramowaniu kamery Vivotek IP7137 wykryto 4 podatności różnego typu (od CVE-2025-66049 do CVE-2025-66052)

W oprogramowaniu routerów KAON CG3000T oraz CG3000TC wykryto zaszyte poświadczenia umożliwiające zdalne przejęcie urządzenia (CVE-2025-7072).

Możliwość nieautoryzowanego dostępu do dokumentacji medycznej została wykryta w oprogramowaniu Asseco AMDX (CVE-2025-4596).

W oprogramowaniu Asseco InfoMedica Plus wykryto 2 podatności różnego typu (CVE-2025-8306 oraz CVE-2025-8307).

W oprogramowaniu Kieback&Peter Neutrino-GLT wykryto podatność umożliwiająca wstrzyknięcie komend (CVE-2025-6225).

W oprogramowaniu routera WODESYS WD-R608U wykryto 5 podatności różnego typu (od CVE-2025-65007 do CVE-2025-65011)

W oprogramowaniu urządzeń Govee z łącznością sieciową wykryto podatność umożliwiającą przejęcie sterowania nad cudzymi urządzeniami (CVE-2025-10910).

12 listopada 2025 roku Komisja Europejska przedstawiła komunikat dotyczący Europejskiej Tarczy Demokracji oraz unijną strategię społeczeństwa obywatelskiego. Dokumenty odpowiadają na rosnące zagrożenia, w szczególności na działania państw nieprzyjaznych oraz wyzwania związane z transformacją cyfrową. Celem inicjatyw jest długoterminowe budowanie odpornej wspólnoty demokratycznej w Unii Europejskiej, państwach członkowskich, krajach kandydujących oraz krajach partnerskich. Europejska Tarcza Demokracji […]

Komisja Europejska opublikowała kolejne sprawozdanie dotyczące realizacji założeń programu polityki „Droga ku Cyfrowej Dekadzie” do 2030. Dokument przedstawia postępy państw członkowskich w zakresie transformacji cyfrowej. Tegoroczny raport dla Polski prezentuje zarówno osiągnięcia, jak i wyzwania, które wciąż kształtują krajowy ekosystem cyfrowy. Sprawozdanie stanowi ważny punkt odniesienia dla instytucji publicznych, regulatorów i sektora prywatnego, pokazując, w […]

W oprogramowaniu WaveStore Server wykryto 3 podatności typu Path Traversal (od CVE-2025-65074 do CVE-2025-65076)

Jak to jest z tym publicznym Wi-Fi? W internecie wciąż możecie trafić na informacje, że korzystanie z takiej otwartej sieci w kawiarni, hotelu lub na lotnisku, to proszenie się o kłopoty, bo hakerzy mogą w ten sposób wykraść hasła i dane. I owszem tak BYŁO. Sprawdźmy dlaczego publiczne sieci nie niosą już dziś takich zagrożeń.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) uzyskała status jednostki nadrzędnej (Root CNA) w programie Common Vulnerabilities and Exposures (CVE). Nowa rola Agencji nie tylko wzmacnia europejski system koordynacji i zarządzania podatnościami, ale także zwiększa globalną pozycję Unii Europejskiej w programie CVE. Nowa rola ENISA 20 października ENISA rozszerzyła swoją rolę w programie CVE, stając się […]

W oprogramowaniu OpenSolution QuickCMSwykryto podatność typu SQL Injection (CVE-2025-12465).

W oprogramowaniu Wirtualna Uczelnia wykryto podatność umożliwiającą zdalne wykonanie kodu przez atakującego (CVE-2025-12140).

W oprogramowaniu routerów SDMC NE6037 wykryto podatność pozwalającą na wstrzyknięcia komend powłoki (CVE-2025-8890).

W oprogramowaniu SOPlanning wykryto 8 podatności różnego typu (od CVE-2025-62293 do CVE-2025-62297 oraz od CVE-2025-62729 do CVE-2025-62731)

W oprogramowaniu Times Software E-Payroll wykryto nieprawidłowe neutralizowanie danych wejściowych skutkujące możliwością wykonania ataku DoS oraz (prawdopodobnie) SQL Injection (CVE-2025-9977).

W oprogramowaniu Windu CMS wykryto 8 podatności różnego typu (od CVE-2025-59110 do CVE-2025-59117)

W oprogramowaniu OpenSolution QuickCMS wykryto 2 podatności różnego typu (CVE-2025-9982 oraz CVE-2025-10018)

W ostatnich miesiącach CERT Polska zaobserwowało nowe próbki złośliwego oprogramowania mobilnego związane z atakiem NFC Relay (NGate) wymierzonym w użytkowników polskich banków.

W oprogramowaniu Eveo URVE Smart Office wykryto podatność typu Cross-site Scripting (CVE-2025-10348).

W oprogramowaniu OpenSolution Quick.Cart wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2025-10317).

W oprogramowaniu mMedica firmy Asseco Poland S.A. wykryto podatność typu Authentication Bypass Using an Alternate Path or Channel i nadano jej identyfikator CVE-2025-9313.

W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu 'SQL Injection' (CVE-2025-8536).

W oprogramowaniu Request Tracker firmy Best Practical wykryto podatność typu XSS i nadano jej identyfikator CVE-2025-9158.

W oprogramowaniu Vilar VS-IPC1002 wykryto 2 podatności różnego typu (CVE-2025-53701 oraz CVE-2025-53702)

W oprogramowaniu OpenSolution QuickCMS wykryto 2 podatności typu Cross-site Scripting (od CVE-2025-9980 do CVE-2025-9981)

W oprogramowaniu SIMPLE.ERP wykryto podatność typu SQL Injection i nadano jej identyfikator CVE-2025-9339.

W oprogramowaniu NetBird VPN wykryto podatność typu Use of Default Credentials (CVE-2025-10678).

W oprogramowaniu Strapi wykryto podatność typu Insufficient Session Expiration (CVE-2025-3930).

Opublikowaliśmy właśnie pierwszy raport miesięczny, podsumowujący nasze działania i obserwacje za wrzesień 2025. To początek nowej formuły komunikacji – chcemy regularnie informować o najważniejszych incydentach, trendach i aktywnościach zespołu.

W oprogramowaniu PAD CMS wykryto 9 podatności różnego typu (CVE-2025-7063, CVE-2025-7065 oraz od CVE-2025-8116 do CVE-2025-8122)

W oprogramowaniu CivetWeb wykryto podatność typu Improper Neutralization of NUL Character (CVE-2025-9648).

W oprogramowaniu GALAYOU G2 wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-9983).

Współczesne ataki phishingowe wykorzystują dokładne kopie wizualne znanych serwisów, co uniemożliwia rozpoznanie oszustwa na podstawie wyglądu strony. Przedstawiamy metodę analizy adresów URL jako jedyną niezawodną technikę weryfikacji autentyczności witryn. Omawiamy również funkcje bezpieczeństwa przeglądarek wspierające użytkowników w identyfikacji prawdziwych domen.

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828, w skrócie zwane także aktem o cyberodporności (Cyber Resilience Act, CRA) zostało opublikowane 24 października 2024 r.1 i weszło w życie […]

W oprogramowaniu Sparkle wykryto 2 podatności typu Incorrect Authorization (CVE-2025-10015 i CVE-2025-10016)

Autorzy: Emilia Zalewska-Czajczyńska, Paulina Popow, Piotr Słowiński 28 lipca opublikowana została ustawa z 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa. Zgodnie ze wskazanym w treści vacatio legis ustawa weszła w życie 28 sierpnia 2025 r. Zgodnie z założeniami krajowy system certyfikacji cyberbezpieczeństwa, oparty na unijnym Akcie o cyberbezpieczeństwie, umożliwia wprowadzenie dobrowolnych certyfikatów dla […]

W oprogramowaniu urządzeń SMSEagle wykryto podatność typu SQL Injection (CVE-2025-10095).

W oprogramowaniu ITCube CRM wykryto podatność typu Path Traversal (CVE-2025-5993).

W oprogramowaniu GOV CMS wykryto podatność typu SQL Injection (CVE-2025-7385).

W oprogramowaniu Payload CMS wykryto 2 podatności różnego typu (CVE-2025-4643 oraz CVE-2025-4644)

W oprogramowaniu OpenSolution QuickCMS wykryto 6 podatności różnego typu (od CVE-2025-54540 do CVE-2025-55175)

W oprogramowaniu CGM CLININET wykryto 17 podatności różnego typu (pomiędzy CVE-2025-2313 a CVE-2025-30064)

Współpraca na Rzecz Bezpieczeństwa Cyfrowego W obliczu coraz bardziej skomplikowanych i powszechnych zagrożeń w cyberprzestrzeni, które wpływają zarówno na funkcjonowanie instytucji publicznych, jak i przedsiębiorstw prywatnych, niezwykle istotna staje się ścisła współpraca obu sektorów. Efektywne przeciwdziałanie atakom oraz minimalizowanie ryzyka wymaga nie tylko wymiany informacji i koordynacji działań, ale także systematycznego budowania odporności na zagrożenia. […]

W oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext wykryto 3 podatności różnego typu (CVE-2025-54172, CVE-2025-54174 oraz CVE-2025-54175).

W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).

W oprogramowaniu GIMP (CVE-2025-8672), Mosh-Pro (CVE-2025-53811), Cursor (CVE-2025-9190), MacVim (CVE-2025-8597), Nozbe (CVE-2025-53813) oraz Invoice Ninja (CVE-2025-8700) na systemy MacOS wykryto podatności umożliwiające atak typu TCC Bypass.

Oddajemy w Państwa ręce dokument, którego podstawowym celem jest wsparcie w procesie ustanawiania CSIRT-ów oraz rozwijania ich zdolności operacyjnych. Chcemy, żeby proces tworzenia zespołów cyberbezpieczeństwa przebiegał w sposób uporządkowany, a same zespoły działały spójnie i porównywalnie.

W oprogramowaniu Flexibits Fantastical wykryto podatność typu Incorrect Authorization (CVE-2025-8533).

Autorzy: Piotr Słowiński, Emilia Zalewska-Czajczyńska Zalecenie Rady w sprawie Planu działania UE na rzecz zarządzania cyberkryzysami (Cyber Blueprint) W dniu 6 czerwca 2025 r. Rada Unii Europejskiej przyjęła zalecenie w sprawie Planu działań UE na rzecz zarządzania cyberkryzysami (EU Cyber Blueprint). Jest to dokument o strategicznym znaczeniu dla kształtowania unijnych ram reagowania na kryzysy i […]

W oprogramowaniu TSplus Remote Access wykryto podatność umożliwiającą poznanie hasha PINu zabezpieczającego aplikację przed uruchomieniem (CVE-2025-5922).

W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).

W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu "Improper Export of Android Application Components" (od CVE-2025-5344 do CVE-2025-5346).

W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).

W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).

CERT Polska obserwuje złośliwą kampanię e-mail prowadzoną przez grupę UNC1151 przeciwko polskim podmiotom z wykorzystaniem podatności w oprogramowaniu Roundcube.

W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).

W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).

W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)

W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).

W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).

W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).

W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).

Na początku roku uruchomiliśmy serwis moje.cert.pl, podnoszący i rozwijający cyberbezpieczeństwo dzięki szeregowi usług i narzędzi. Od startu w serwisie zarejestrowało się ponad 11 tysięcy użytkowników. To dla nich włączamy dziś nową funkcję – komunikaty o zagrożeniach.

W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).

W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).

W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).

W dniu 9 kwietnia 2025 r. Komisja Europejska ogłosiła Plan Działania ,,Kontynent AI” (AI Continent Action Plan). Przedstawiono w nim szereg działań, które mają umożliwić Unii Europejskiej rozwój i wdrożenie najnowocześniejszych rozwiązań z zakresu sztucznej inteligencji. Jak podkreśla Komisja, wyścig o miano lidera w tym obszarze jeszcze się nie zakończył, a Unia jest zdeterminowana, aby […]

​W poprzednim artykule zostały omówione działania wybranych państw członkowskich Unii Europejskiej w zakresie implementacji przepisów Aktu o sztucznej inteligencji. W niniejszym artykule przedstawione zostały kolejne kraje UE, które podjęły konkretne kroki w celu dostosowania swoich systemów prawnych i administracyjnych do wymogów tej regulacji. Dania Stworzenie piaskownicy regulacyjnej w ramach strategii cyfryzacji Danii 8 lutego 2024 […]