Aktualności

Zapraszamy do nowego wydania Weekendowej Lektury. Znajdziecie tu, jak zwykle, istotne informacje z obszaru cyberbezpieczeństwa i prywatności obejmujące miniony tydzień. Dajcie znać w komentarzach, które tematy okazały się dla Was najciekawsze. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej doniesienia o tym, że systemy AI wykorzystywane przez polskie służby specjalne nie będą podlegać nowemu […]

Mamy kolejny incydent z aplikacją Strava, która służy do trackingu aktywności sportowych. Tym razem wpadkę zaliczyli nie Amerykanie a Francuzi z lotniskowca “Charles de Gaulle”: Ale zanim zaczniecie pisać “jakież to było nieodpowiedzialne i groźne zachowanie!“, warto zwrócić uwagę, że lotniskowce to nie okręty podwodne i do najmniejszych nie należą. Innymi słowy: łatwo można je zlokalizować za pomocą […]

Konferencja SECURE, organizowana przez NASK, to jedyna taka impreza w Polsce. Nie dość, że jest to najstarsza konferencja poświęcona bezpieczeństwu w Polsce (w tym roku odbywa się po raz 29), to można w niej wziąć udział za darmo. Czy warto? Jeszcze jak! Agnieszka Gryszczyńska, Kacper Szurek, Michał Sajdak, Paweł Maziarz, Maciej Broniarz, Kamil Bojarski, Kamil […]

W oprogramowaniu Befree SDK wykryto podatność typu Cross-site Scripting (CVE-2025-12518).

🔎 W ostatnich dniach do zespołu CERT Polska trafiają zgłoszenia dotyczące wiadomości e-mail informujących o rzekomym problemie z doręczeniem przesyłki.

📧 Wiadomość sugeruje konieczność pilnej aktualizacji danych lub uiszczenia niewielkiej opłaty, aby możliwe było dokończenie dostawy. W treści cyberoszuści umieszczają odnośnik prowadzący do strony internetowej podszywającej się pod oficjalny serwis. Tam znajduje się formularz, który zbiera dane karty płatniczej wykorzystywane przez przestępców.

💡 Fałszywa strona może łudząco przypominać prawdziwą witrynę. Dobrym nawykiem jest sprawdzanie adresu strony internetowej przed podaniem danych oraz weryfikacja informacji o przesyłce bezpośrednio w oficjalnym serwisie operatora lub aplikacji do śledzenia paczek.

📢 Podejrzane strony internetowe oraz wiadomości e-mail można zgłaszać do CERT Polska poprzez formularz dostępny na stronie incydent.cert.pl lub w aplikacji mObywatel, korzystając z usługi „Bezpieczni w sieci”. Wiadomości SMS budzące wątpliwości warto przekazać na bezpłatny numer 8080.

W oprogramowaniu Raytha wykryto 11 podatności różnego typu (CVE-2025-15540 oraz od CVE-2025-69236 do CVE-2025-69243 oraz od CVE-2025-69245 do CVE-2025-69246)

CERT Polska otrzymał zgłoszenia dotyczące 2 podatności (CVE-2025-11500 oraz CVE-2025-15587) wykrytych w wielu urządzeniach tinycontrol (tcPDU oraz LAN Controllers: LK3.5, LK3.9 i LK4).

Zapraszamy do nowego wydania Weekendowej Lektury. Mamy nadzieję, że mimo lekkiego opóźnienia z naszej strony znajdziecie czas na ogarnięcie zebranych linków pokazujących aktualny krajobraz cyberzagrożeń. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej pierwszy odcinek retro-podcastu Informatyka Zakładowego (pkt 2) oraz artykuł o tym, jak irańscy haktywiści zaatakowali producenta sprzętu medycznego Stryker (pkt 12). […]

W oprogramowaniu Streamsoft Prestiż wykryto podatność polegającą na słabym kodowaniu tokenów (CVE-2026-0809).

Zespół CERT Polska świętuje 30-lecie swojej działalności. Przez trzy dekady zmieniło się niemal wszystko. Internet, z którego w latach 90. korzystała niewielka grupa użytkowników, dziś jest podstawową przestrzenią, dzięki której funkcjonuje wiele aspektów naszego życia. Wraz z jego rozwojem pojawiają się jednak nowe zagrożenia, co jeszcze lepiej pokazuje dlaczego potrzebujemy zespołów takich jak nasz.

W oprogramowaniu Coppermine Photo Gallery wykryto podatność typu Path Traversal (CVE-2026-3013).

Zapraszamy do nowego wydania Weekendowej Lektury. Skoro tu zaglądacie, to stęskniliście się pewnie za stertą linków, które umożliwią zorientowanie się w aktualnym krajobrazie czyhających na was zagrożeń. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej artykuł o tym, jak przejęcie 330 domen osłabiło kampanie phishingowe z użyciem Tycoon 2FA (pkt 12). W części technicznej spójrzcie […]

W oprogramowaniu QuickCMS wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2026-1468).

W IT też bywa sezon ogórkowy. Tyle że zamiast ogórków mamy zaległe tickety, niedokończone migracje i alerty. Gdzieś między kolejnym zgłoszeniem na helpdesku a odkładaną aktualizacją zaczynasz się zastanawiać, czy w tym zawodzie chodzi jeszcze o coś więcej niż gaszenie pożarów i czy wiedza, którą zbierasz latami, nadal ma jakieś znaczenie… Ma! Tylko trzeba ją […]

W systemie e-Toll był błąd, który powodował naliczanie niesłusznych kar za rzekomo nieopłacone przejazdy autostradą (po latach!). Nasz Czytelnik Szymon podrążył temat i pieniądze odzyska. Było warto walczyć o swoje choć nie było całkiem łatwo. Przypomnijmy. W lutym pisaliśmy o tym, że niektórym osobom zdarza się dostać wezwanie za nieopłacony przejazd autostradą, mimo iż autostrady […]

W oprogramowaniu DobryCMS wykryto 2 podatności różnego typu (CVE-2025-12462 oraz CVE-2025-14532)

W oprogramowaniu CGM CLININET oraz CGM NETRAAD wykryto 8 podatności różnego typu.

Zapraszamy do nowego wydania Weekendowej Lektury. Nie zawsze jesteśmy w stanie przygotować je już w piątek, ale tym razem mocno się sprężyliśmy i oto jest nowa porcja linków do ciekawych informacji z minionego tygodnia. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej informacje o zarzutach dla byłych szefów ABW i SKW w śledztwie dotyczącym Pegasusa […]

W oprogramowaniu Pro3W CMS wykryto podatność typu SQL Injection (CVE-2025-15498).

W oprogramowaniu PluXml CMS wykryto 3 podatności różnego typu (od CVE-2026-24350 do CVE-2026-24352)

W oprogramowaniu Omega-PSIR wykryto podatność typu Cross-site Scripting (CVE-2026-1434).

W oprogramowaniu Simple.ERP wykryto podatność typu SQL Injection (CVE-2026-1198).

W wielu programach Finka wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-13776).

W wielu urządzeniach firmy Slican wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-14577).

Zapraszamy do nowego wydania Weekendowej Lektury. Opisy nowych zmagań badaczy z cyberprzestępcami, szczegóły świeżo odkrytych luk, analizy nowych kampanii – każdy znajdzie coś dla siebie. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej artykuły o wykorzystaniu następcy Pegasusa, czyli Predatora, przeciwko dziennikarzowi w Angoli (pkt 8), natomiast oprogramowanie Cellebrite zostało użyte przez władze przeciwko […]

Niewątpliwie najważniejsza dla polskiego cyberbezpieczeństwa ustawa uzyskała podpis Prezydenta. Została jednak wysłana do Trybunału Konstytucyjnego co oznacza, że niektóre jej przepisy z czasem mogą być uchylone. Tak czy owak trzeba się szykować na wdrażanie NIS2. Tydzień temu pisaliśmy o ustawie o Krajowym Systemie Cyberbezpieczeństwa, która ma wdrażać w Polsce unijną dyrektywę NIS2. Wówczas ustawa wyszła […]

Pomogliśmy dużej organizacji w analizie infekcji malware spowodowanej przez Fake CAPTCHA. W tym raporcie podsumowujemy nasze obserwacje oraz publikujemy szczegółową analizę znalezionego złośliwego oprogramowania.

27 stycznia w komisji w Senacie przyjęto projekt ustawy o zmianie ustawy o krajowym systemiecyberbezpieczeństwa (dalej: KSC) bez poprawek w stosunku do tekstu przyjętego w Sejmie. Oznacza to,że aktualnie ustawa została przekazana do podpisu Prezydentowi RP, który decyzję o jej dalszych losachmusi podjąć do 19 lutego 2026 r. W trakcie prac parlamentarnych pierwotny, skierowany do […]

Zapraszamy do nowego wydania Weekendowej Lektury. Lepiej późno niż wcale, przybywamy więc do Was ze świeżą porcją informacji o atakach, wyciekach, podatnościach i szkodnikach, które zaobserwowali ostatnio eksperci. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej doniesienia o zarzutach postawionych sprawcy wycieku danych ze sklepu Morele.net (pkt 1) oraz poczytajcie też o groźbach prawnych […]

Firma w której pracujesz może już niebawem stać się elementem “systemu cyberbezpieczeństwa”, co wiąże się z nowymi obowiązkami i ewentualnymi karami za ich niespełnienie. Wszystko dzięki ustawie, która bez poprawek niedawno została przyjęta przez Senat. Jeśli Prezydent ją podpisze, to czeka nas (jako społeczeństwo) sporo pracy. Jeśli nie podpisze, to też mamy problem ;) Krajowy […]

Ponad pół miliona podatności udało się znaleźć dzięki udostępnieniu serwisu moje.cert.pl. To darmowe narzędzie, z którego korzysta już niemal 16 tysięcy użytkowników. To też ponad 19 tysięcy stron, które należą do instytucji, firm i osób prywatnych, których administratorzy podjęli działania na rzecz bezpieczeństwa swojego, a nierzadko także swoich klientów.

Wszyscy zgodzimy się, że warto wiedzieć, czy ktoś przypadkiem nie buszuje po naszej infrastrukturze — i to nie tylko wtedy, kiedy na jej styku stoi UTM od Fortinet ;) Wiele z sieci jest już od dawna przejętych, ale niestety nie każda firma potrafi wykryć, że jej infrastruktura została zhackowana. A przecież narzędzi, które w tym mogą pomóc, […]

Włamanie do sklepu Morele.net miało miejsce w 2018 roku, ale funkcjonariusze Centralnego Biura Zwalczania Cyberprzestępczości (CBZC) nie odpuścili. Udało im się ustalić osobę odpowiedzialną za atak i przedstawić jej zarzuty.  Zakładamy, że większość naszych Czytelników słyszała o kradzieży danych klientów Morele.net, a niektórzy z Was wgryzali się w analizy licznych skutków prawnych tego zdarzenia. Oczy […]

Zapraszamy do nowego wydania Weekendowej Lektury. Tym razem także nie zabrakło materiału do analizy – poniżej znajdziecie kilkadziesiąt linków, które mogą zapewnić Wam zajęcie na resztę weekendu. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej obszerny artykuł o rosyjskiej grupie Rublevka, która zarabia miliony dolarów, kradnąc kryptowaluty (pkt 13). W części technicznej spójrzcie na […]

Jechałeś A4 lub A2? To skarbówka może Cię wezwać do wniesienia opłaty za “nieopłacony przejazd autostradą” sprzed kilku (!) lat. I to mimo tego, że Ty przejazd opłaciłeś, a dziś podróż tym odcinkiem jest bezpłatna. Wiele osób po prostu płaci, choć niektóre z opłat są naliczone błędnie i Ministerstwo Finansów najwyraźniej o tym wie. Płacić […]

Otrzymujemy informacje o tym, że oszuści zaczęli podszywać się pod Ministerstwo Finansów oraz Krajową Administrację Skarbową i rozsyłają e-maile dotyczące KSeF, które zawierają złośliwe załączniki, których uruchomienie może spowodować kradzież danych i pieniędzy. Oto jak wyglądają przykładowe wiadomości: Kategoria: Publiczne Szanowni Państwo, W załączniku znajduje się Powiadomienie Naczelnika Urzędu Skarbowego. Prosimy o informację, czy potrzebują […]

W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2026-23796 i CVE-2026-23797)

Przywykliśmy do tego, że kamery i monitoring pojawiają się w różnych miejscach. Taksówkach, autobusach, budynkach, garażach, aptekach, a nawet osiedlowych sklepach. I większość osób nie ma z kamerami problemu, bo zakłada że do nagrań sięga się tylko “po przestępstwie”. Aby sprawdzić kto coś zniszczył, ukradł, napadł. A co, gdybyśmy Wam powiedzieli, że klientów Żabki obserwować mógł […]

Twój pociąg odjeżdża o 21:36. A nie, o 22:35. Nie, nie, jednak o 20:36. Każde odświeżenie strony daje nowy wynik, a żaden z nich nie jest prawidłowy. Koszmarny sen? Nie, tak naprawdę działa (czasem i dla niektórych klientów) oficjalny rozkład jazdy PKP online, czyli Portal Pasażera. Historia zaczyna się 16 stycznia 2026 roku. Wchodzę na […]

W aplikacji mObywatel na system iOS wykryto podatność sktutkującą ujawnieniem danych osobowych nieuwierzytelnionemu atakującemu (CVE-2025-11598).

Jak zabezpieczam swoje (nie tylko cyfrowe) życie? Z jakich technologii korzystam, a jakie omijam? Komu powierzam swoje dane? Jak dbam o swoją prywatność? Już 10 lutego opowiem o wszystkim, jak na spowiedzi :) Dołączyć (także za darmo, ale tylko do startu webinaru) można pod tym linkiem – zapraszam! Od 2016 co około dwa lata szczegółowo […]

W oprogramowaniu EAP Legislator wykryto podatność pozwalającą na rozpakowanie archiwum plików poza katalogiem docelowym (CVE-2026-1186).

W końcówce 2025 doszło do bezprecedensowego i skoordynowanego ataku na kilkadziesiąt obiektów w strukturach polskiego sektora energetycznego. Atakującym udało się włamać do co najmniej 30 obiektów typu OZE (farmy wiatrowe i fotowoltaiczne) ale także elektrociepłowni obsługującej 500 tysięcy Polaków i do jednej z firm produkcyjnych. Wszystkie z tych obiektów próbowano unieruchomić i w wielu przypadkach […]

Zespół CERT Polska przedstawia raport z analizy incydentu w sektorze energii, do którego doszło 29 grudnia 2025 roku. Ataki miały charakter destrukcyjny i były wymierzone w farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz przedsiębiorstwo z sektora produkcyjnego. Publikacja ma na celu podniesienie świadomości na temat ryzyka związanego z dywersją w cyberprzestrzeni.

W oprogramowaniu routera LV-WR21Q wykryto 2 podatności różnego typu (CVE-2025-12386 oraz CVE-2025-12387)

W aplikacji Inkscape na system MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-15523).

W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2025-67683 oraz CVE-2025-67684)

W najbliższych tygodniach realizujemy szkolenia z dwóch tematów, które chcieliśmy Wam w dzisiejszym wpisie przybliżyć: 1. Bezpieczeństwo Sieci Komputerowych (Testy Penetracyjne) Termin: 28-30 stycznia, w Krakowie 2. Zaawansowany OSINT: pozyskiwanie informacji na temat ludzi i firm Termin: 16-17 lutego, on-line Termin: 18 lutego, on-line, (to wariant fast-track, materiał jest skompresowany do 1 dnia) Termin: 26-27 […]

W ostatnich dniach rodzice posiadający konta w dziennikach Librus i Vulcan, otrzymali od nauczycieli różnego rodzaju szokujące, kłamliwe, a niekiedy nawet sprośne wiadomości. Próbowano ich też okraść. Oczywiście, za tymi działaniami nie stali nauczyciele, a ktoś, kto przejął ich konta… My ze swoich źródeł wiemy o dwóch takich incydentach. Jeden dotyczył systemu Vulcan w szkole na […]

W aplikacji mobilnej Crazy Bubble Tea wykryto możliwość uzyskania danych osobowych innych użytkowników (CVE-2025-14317).

W oprogramowaniu Ysoft SafeQ 6 wykryto podatność polegająca na nieskutecznym maskowaniu hasła (CVE-2025-13175).

Pliki umów zawartych pomiędzy rodzicami a żłobkami w Łodzi były dostępne publicznie i możliwe do pobrania przez każdego. Powód? Błąd w aplikacji, która miała ułatwiać organizowanie pracy w żłobkach. Co się wydarzyło? Jak poinformowała nas pewna zaniepokojona osoba, na jednej stronie powiązanej z Politechniką Łódzką dostępny był taki oto indeks plików: Indeks obejmował ponad 4900 […]

W oprogramowaniu kamery Vivotek IP7137 wykryto 4 podatności różnego typu (od CVE-2025-66049 do CVE-2025-66052)

W oprogramowaniu routerów KAON CG3000T oraz CG3000TC wykryto zaszyte poświadczenia umożliwiające zdalne przejęcie urządzenia (CVE-2025-7072).

Możliwość nieautoryzowanego dostępu do dokumentacji medycznej została wykryta w oprogramowaniu Asseco AMDX (CVE-2025-4596).

W oprogramowaniu Asseco InfoMedica Plus wykryto 2 podatności różnego typu (CVE-2025-8306 oraz CVE-2025-8307).

W oprogramowaniu Kieback&Peter Neutrino-GLT wykryto podatność umożliwiająca wstrzyknięcie komend (CVE-2025-6225).

Zwykła przeglądarka PDF-ów i umiejętność kopiowania tekstu – tyle wystarczyło, aby poznać niektóre z “utajnionych” szczegółów sprawy Epsteina. Jak widzicie na przełomie lat 2025/2026 takie rzeczy ciągle się zdarzają. Zakładamy, że słyszeliście o sprawie Jeffreya Epsteina i wiecie, że amerykański Departament Sprawiedliwości opublikował bibliotekę dokumentów, które tej sprawy dotyczą. Jest ona dostępna pod adresem Justice.gov/epstein. […]

W oprogramowaniu routera WODESYS WD-R608U wykryto 5 podatności różnego typu (od CVE-2025-65007 do CVE-2025-65011)

W oprogramowaniu urządzeń Govee z łącznością sieciową wykryto podatność umożliwiającą przejęcie sterowania nad cudzymi urządzeniami (CVE-2025-10910).

12 listopada 2025 roku Komisja Europejska przedstawiła komunikat dotyczący Europejskiej Tarczy Demokracji oraz unijną strategię społeczeństwa obywatelskiego. Dokumenty odpowiadają na rosnące zagrożenia, w szczególności na działania państw nieprzyjaznych oraz wyzwania związane z transformacją cyfrową. Celem inicjatyw jest długoterminowe budowanie odpornej wspólnoty demokratycznej w Unii Europejskiej, państwach członkowskich, krajach kandydujących oraz krajach partnerskich. Europejska Tarcza Demokracji […]

Komisja Europejska opublikowała kolejne sprawozdanie dotyczące realizacji założeń programu polityki „Droga ku Cyfrowej Dekadzie” do 2030. Dokument przedstawia postępy państw członkowskich w zakresie transformacji cyfrowej. Tegoroczny raport dla Polski prezentuje zarówno osiągnięcia, jak i wyzwania, które wciąż kształtują krajowy ekosystem cyfrowy. Sprawozdanie stanowi ważny punkt odniesienia dla instytucji publicznych, regulatorów i sektora prywatnego, pokazując, w […]

W oprogramowaniu WaveStore Server wykryto 3 podatności typu Path Traversal (od CVE-2025-65074 do CVE-2025-65076)

Jak to jest z tym publicznym Wi-Fi? W internecie wciąż możecie trafić na informacje, że korzystanie z takiej otwartej sieci w kawiarni, hotelu lub na lotnisku, to proszenie się o kłopoty, bo hakerzy mogą w ten sposób wykraść hasła i dane. I owszem tak BYŁO. Sprawdźmy dlaczego publiczne sieci nie niosą już dziś takich zagrożeń.

Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) uzyskała status jednostki nadrzędnej (Root CNA) w programie Common Vulnerabilities and Exposures (CVE). Nowa rola Agencji nie tylko wzmacnia europejski system koordynacji i zarządzania podatnościami, ale także zwiększa globalną pozycję Unii Europejskiej w programie CVE. Nowa rola ENISA 20 października ENISA rozszerzyła swoją rolę w programie CVE, stając się […]

W oprogramowaniu OpenSolution QuickCMSwykryto podatność typu SQL Injection (CVE-2025-12465).

W oprogramowaniu Wirtualna Uczelnia wykryto podatność umożliwiającą zdalne wykonanie kodu przez atakującego (CVE-2025-12140).

W oprogramowaniu routerów SDMC NE6037 wykryto podatność pozwalającą na wstrzyknięcia komend powłoki (CVE-2025-8890).

W oprogramowaniu SOPlanning wykryto 8 podatności różnego typu (od CVE-2025-62293 do CVE-2025-62297 oraz od CVE-2025-62729 do CVE-2025-62731)

W oprogramowaniu Times Software E-Payroll wykryto nieprawidłowe neutralizowanie danych wejściowych skutkujące możliwością wykonania ataku DoS oraz (prawdopodobnie) SQL Injection (CVE-2025-9977).

W oprogramowaniu Windu CMS wykryto 8 podatności różnego typu (od CVE-2025-59110 do CVE-2025-59117)

W oprogramowaniu OpenSolution QuickCMS wykryto 2 podatności różnego typu (CVE-2025-9982 oraz CVE-2025-10018)

W ostatnich miesiącach CERT Polska zaobserwowało nowe próbki złośliwego oprogramowania mobilnego związane z atakiem NFC Relay (NGate) wymierzonym w użytkowników polskich banków.

W oprogramowaniu Eveo URVE Smart Office wykryto podatność typu Cross-site Scripting (CVE-2025-10348).

W oprogramowaniu OpenSolution Quick.Cart wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2025-10317).

W oprogramowaniu mMedica firmy Asseco Poland S.A. wykryto podatność typu Authentication Bypass Using an Alternate Path or Channel i nadano jej identyfikator CVE-2025-9313.

W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu 'SQL Injection' (CVE-2025-8536).

W oprogramowaniu Request Tracker firmy Best Practical wykryto podatność typu XSS i nadano jej identyfikator CVE-2025-9158.

W oprogramowaniu Vilar VS-IPC1002 wykryto 2 podatności różnego typu (CVE-2025-53701 oraz CVE-2025-53702)

W oprogramowaniu OpenSolution QuickCMS wykryto 2 podatności typu Cross-site Scripting (od CVE-2025-9980 do CVE-2025-9981)

W oprogramowaniu SIMPLE.ERP wykryto podatność typu SQL Injection i nadano jej identyfikator CVE-2025-9339.

W oprogramowaniu NetBird VPN wykryto podatność typu Use of Default Credentials (CVE-2025-10678).

W oprogramowaniu Strapi wykryto podatność typu Insufficient Session Expiration (CVE-2025-3930).

Opublikowaliśmy właśnie pierwszy raport miesięczny, podsumowujący nasze działania i obserwacje za wrzesień 2025. To początek nowej formuły komunikacji – chcemy regularnie informować o najważniejszych incydentach, trendach i aktywnościach zespołu.

W oprogramowaniu PAD CMS wykryto 9 podatności różnego typu (CVE-2025-7063, CVE-2025-7065 oraz od CVE-2025-8116 do CVE-2025-8122)

W oprogramowaniu CivetWeb wykryto podatność typu Improper Neutralization of NUL Character (CVE-2025-9648).

W oprogramowaniu GALAYOU G2 wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-9983).

Współczesne ataki phishingowe wykorzystują dokładne kopie wizualne znanych serwisów, co uniemożliwia rozpoznanie oszustwa na podstawie wyglądu strony. Przedstawiamy metodę analizy adresów URL jako jedyną niezawodną technikę weryfikacji autentyczności witryn. Omawiamy również funkcje bezpieczeństwa przeglądarek wspierające użytkowników w identyfikacji prawdziwych domen.

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie horyzontalnych wymagań w zakresie cyberbezpieczeństwa w odniesieniu do produktów z elementami cyfrowymi oraz w sprawie zmiany rozporządzeń (UE) nr 168/2013 i (UE) 2019/1020 i dyrektywy (UE) 2020/1828, w skrócie zwane także aktem o cyberodporności (Cyber Resilience Act, CRA) zostało opublikowane 24 października 2024 r.1 i weszło w życie […]

W oprogramowaniu Sparkle wykryto 2 podatności typu Incorrect Authorization (CVE-2025-10015 i CVE-2025-10016)

Autorzy: Emilia Zalewska-Czajczyńska, Paulina Popow, Piotr Słowiński 28 lipca opublikowana została ustawa z 25 czerwca 2025 r. o krajowym systemie certyfikacji cyberbezpieczeństwa. Zgodnie ze wskazanym w treści vacatio legis ustawa weszła w życie 28 sierpnia 2025 r. Zgodnie z założeniami krajowy system certyfikacji cyberbezpieczeństwa, oparty na unijnym Akcie o cyberbezpieczeństwie, umożliwia wprowadzenie dobrowolnych certyfikatów dla […]

W oprogramowaniu urządzeń SMSEagle wykryto podatność typu SQL Injection (CVE-2025-10095).

W oprogramowaniu ITCube CRM wykryto podatność typu Path Traversal (CVE-2025-5993).

W oprogramowaniu GOV CMS wykryto podatność typu SQL Injection (CVE-2025-7385).

W oprogramowaniu Payload CMS wykryto 2 podatności różnego typu (CVE-2025-4643 oraz CVE-2025-4644)

W oprogramowaniu OpenSolution QuickCMS wykryto 6 podatności różnego typu (od CVE-2025-54540 do CVE-2025-55175)

W oprogramowaniu CGM CLININET wykryto 17 podatności różnego typu (pomiędzy CVE-2025-2313 a CVE-2025-30064)

Współpraca na Rzecz Bezpieczeństwa Cyfrowego W obliczu coraz bardziej skomplikowanych i powszechnych zagrożeń w cyberprzestrzeni, które wpływają zarówno na funkcjonowanie instytucji publicznych, jak i przedsiębiorstw prywatnych, niezwykle istotna staje się ścisła współpraca obu sektorów. Efektywne przeciwdziałanie atakom oraz minimalizowanie ryzyka wymaga nie tylko wymiany informacji i koordynacji działań, ale także systematycznego budowania odporności na zagrożenia. […]

W oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext wykryto 3 podatności różnego typu (CVE-2025-54172, CVE-2025-54174 oraz CVE-2025-54175).

W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).

W oprogramowaniu GIMP (CVE-2025-8672), Mosh-Pro (CVE-2025-53811), Cursor (CVE-2025-9190), MacVim (CVE-2025-8597), Nozbe (CVE-2025-53813) oraz Invoice Ninja (CVE-2025-8700) na systemy MacOS wykryto podatności umożliwiające atak typu TCC Bypass.

Oddajemy w Państwa ręce dokument, którego podstawowym celem jest wsparcie w procesie ustanawiania CSIRT-ów oraz rozwijania ich zdolności operacyjnych. Chcemy, żeby proces tworzenia zespołów cyberbezpieczeństwa przebiegał w sposób uporządkowany, a same zespoły działały spójnie i porównywalnie.

W oprogramowaniu Flexibits Fantastical wykryto podatność typu Incorrect Authorization (CVE-2025-8533).

Autorzy: Piotr Słowiński, Emilia Zalewska-Czajczyńska Zalecenie Rady w sprawie Planu działania UE na rzecz zarządzania cyberkryzysami (Cyber Blueprint) W dniu 6 czerwca 2025 r. Rada Unii Europejskiej przyjęła zalecenie w sprawie Planu działań UE na rzecz zarządzania cyberkryzysami (EU Cyber Blueprint). Jest to dokument o strategicznym znaczeniu dla kształtowania unijnych ram reagowania na kryzysy i […]

W oprogramowaniu TSplus Remote Access wykryto podatność umożliwiającą poznanie hasha PINu zabezpieczającego aplikację przed uruchomieniem (CVE-2025-5922).

W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).

W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu "Improper Export of Android Application Components" (od CVE-2025-5344 do CVE-2025-5346).

W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).

W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).

CERT Polska obserwuje złośliwą kampanię e-mail prowadzoną przez grupę UNC1151 przeciwko polskim podmiotom z wykorzystaniem podatności w oprogramowaniu Roundcube.

W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).

W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).

W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)

W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).

W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).

W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).

W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).

Na początku roku uruchomiliśmy serwis moje.cert.pl, podnoszący i rozwijający cyberbezpieczeństwo dzięki szeregowi usług i narzędzi. Od startu w serwisie zarejestrowało się ponad 11 tysięcy użytkowników. To dla nich włączamy dziś nową funkcję – komunikaty o zagrożeniach.

W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).

W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).

W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).

W dniu 9 kwietnia 2025 r. Komisja Europejska ogłosiła Plan Działania ,,Kontynent AI” (AI Continent Action Plan). Przedstawiono w nim szereg działań, które mają umożliwić Unii Europejskiej rozwój i wdrożenie najnowocześniejszych rozwiązań z zakresu sztucznej inteligencji. Jak podkreśla Komisja, wyścig o miano lidera w tym obszarze jeszcze się nie zakończył, a Unia jest zdeterminowana, aby […]

W oprogramowaniu Symfonia Ready_ wykryto 4 podatności różnego typu (od CVE-2025-1980 do CVE-2025-1983).

​W poprzednim artykule zostały omówione działania wybranych państw członkowskich Unii Europejskiej w zakresie implementacji przepisów Aktu o sztucznej inteligencji. W niniejszym artykule przedstawione zostały kolejne kraje UE, które podjęły konkretne kroki w celu dostosowania swoich systemów prawnych i administracyjnych do wymogów tej regulacji. Dania Stworzenie piaskownicy regulacyjnej w ramach strategii cyfryzacji Danii 8 lutego 2024 […]

W module Internet Starter oprogramowania SoftCOM iKSORIS wykryto 11 podatności różnego typu.

Za nami kolejny rok działania zespołu CERT Polska. Rok absolutnie rekordowy, jeśli weźmiemy pod uwagę praktycznie wszystkie statystyki przytaczane w naszych dotychczasowych raportach. Za tymi liczbami stoi codzienna praca ekspertów, którzy każdego dnia dbają o bezpieczeństwo Polaków w sieci. O tej pracy, kluczowych wyzwaniach, z którymi się mierzymy, oraz o analizowanych zagrożeniach jest tegoroczny raport.

Krajobraz zagrożeń występujących w polskiej cyberprzestrzeni ulega ewolucji. Z jednej strony obserwujemy dobrze znane z ostatnich lat kampanie phishingowe, których celem jest wyłudzenie loginów i haseł do popularnych usług e-mail lub serwisów społecznościowych, czy strony z fałszywymi ogłoszeniami imitujące serwisy, takie jak OLX bądź Allegro. Z drugiej strony pojawiają się nowe, interesujące z punktu widzenia cyberbezpieczeństwa kampanie.

Problem oszustów działających za pośrednictwem platform społecznościowych jest wciąż aktualny. Firma Meta nie zrealizowała wszystkich przedstawionych w ubiegłym roku przez ekspertów z działającego w NASK zespołu CERT Polska postulatów, które miały zwiększyć bezpieczeństwo Polaków korzystających z serwisów społecznościowych.

W oprogramowaniu Streamsoft Prestiż wykryto 2 podatności różnego typu (CVE-2024-11504 oraz CVE-2024-7407).

W aplikacji Fast CAD Reader (Beijing Honghu Yuntu Technology) wykryto podatność CVE-2025-2098 typu Incorrect Privilege Assignment.

W oprogramowaniu OXARI ServiceDesk firmy Infonet Projekt SA wykryto podatność typu Incorrect Authorization (CVE-2025-1542).

W popularnym kontrolerze Ingress-Nginx w wersjach do 1.12.0 i 1.11.4 włącznie znaleziono krytyczne podatności umożliwiające zdalne wykonanie kodu bez konieczności uwierzytelnienia. Ingress-Nginx Ingress-Nginx jest domyślnym kontrolerem zarządzania ruchem sieciowym oferującym funkcje reverse-proxy oraz load balancingu w klastrach Kubernetes.

W oprogramowaniu SIMPLE.ERP wykryto 2 podatności różnego typu (CVE-2024-8773 oraz CVE-2024-8774).

W oprogramowaniu BotSense NASK-PIB wykryto podatność typu Improper Neutralization of Value Delimiters (CVE-2025-1774).

W oprogramowaniu MLJAR PlotAI wykryto podatność typu Command Injection (CVE-2025-1497).

W oprogramowaniu kamer Smartwares CIP-37210AT oraz C724IP wykryto 3 podatności różnego typu (od CVE-2024-13892 do CVE-2024-13894).