Podatność w oprogramowaniu Akcess-Net Lepszy BIP | CERT Polska
W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).| cert.pl
W oprogramowaniu Payload CMS wykryto 2 podatności różnego typu (CVE-2025-4643 oraz CVE-2025-4644)| CERT Polska
W oprogramowaniu OpenSolution QuickCMS wykryto 6 podatności różnego typu (od CVE-2025-54540 do CVE-2025-55175)| CERT Polska
W oprogramowaniu CGM CLININET wykryto 17 podatności różnego typu (pomiędzy CVE-2025-2313 a CVE-2025-30064)| CERT Polska
W oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext wykryto 3 podatności różnego typu (CVE-2025-54172, CVE-2025-54174 oraz CVE-2025-54175).| CERT Polska
W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).| cert.pl
W oprogramowaniu GIMP na systemy MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-8672).| CERT Polska
Oddajemy w Państwa ręce dokument, którego podstawowym celem jest wsparcie w procesie ustanawiania CSIRT-ów oraz rozwijania ich zdolności operacyjnych. Chcemy, żeby proces tworzenia zespołów cyberbezpieczeństwa przebiegał w sposób uporządkowany, a same zespoły działały spójnie i porównywalnie.| CERT Polska
W oprogramowaniu Flexibits Fantastical wykryto podatność typu Incorrect Authorization (CVE-2025-8533).| cert.pl
W oprogramowaniu TSplus Remote Access wykryto podatność umożliwiającą poznanie hasha PINu zabezpieczającego aplikację przed uruchomieniem (CVE-2025-5922).| CERT Polska
W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).| cert.pl
Gdzie zgłosić podatność? Przed zgłoszeniem znalezionej podatności do CERT Polska i upublicznieniem jej, zgłaszający powinien skontaktować się bezpośrednio z właścicielem podatnego systemu lub dostawcą oprogramowania. Jeśli nie jest możliwe znalezienie kontaktu, lub kontakt jest utrudniony, podatność należy zgłosić do właściwego CSIRT-u według obowiązującego zakresu odpowiedzialności, zgodnie z poniższym opisem: Do …| cert.pl
W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu| cert.pl
W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).| cert.pl
W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).| CERT Polska
W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).| CERT Polska
W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).| CERT Polska
W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)| CERT Polska
W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).| CERT Polska
W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).| CERT Polska
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).| CERT Polska
W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).| CERT Polska
Na początku roku uruchomiliśmy serwis moje.cert.pl, podnoszący i rozwijający cyberbezpieczeństwo dzięki szeregowi usług i narzędzi. Od startu w serwisie zarejestrowało się ponad 11 tysięcy użytkowników. To dla nich włączamy dziś nową funkcję – komunikaty o zagrożeniach.| CERT Polska
W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).| CERT Polska
W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).| CERT Polska
W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).| CERT Polska
W oprogramowaniu Symfonia Ready_ wykryto 4 podatności różnego typu (od CVE-2025-1980 do CVE-2025-1983).| CERT Polska
W module Internet Starter oprogramowania SoftCOM iKSORIS wykryto 11 podatności różnego typu.| CERT Polska
Za nami kolejny rok działania zespołu CERT Polska. Rok absolutnie rekordowy, jeśli weźmiemy pod uwagę praktycznie wszystkie statystyki przytaczane w naszych dotychczasowych raportach. Za tymi liczbami stoi codzienna praca ekspertów, którzy każdego dnia dbają o bezpieczeństwo Polaków w sieci. O tej pracy, kluczowych wyzwaniach, z którymi się mierzymy, oraz o analizowanych zagrożeniach jest tegoroczny raport.| CERT Polska
Krajobraz zagrożeń występujących w polskiej cyberprzestrzeni ulega ewolucji. Z jednej strony obserwujemy dobrze znane z ostatnich lat kampanie phishingowe, których celem jest wyłudzenie loginów i haseł do popularnych usług e-mail lub serwisów społecznościowych, czy strony z fałszywymi ogłoszeniami imitujące serwisy, takie jak OLX bądź Allegro. Z drugiej strony pojawiają się nowe, interesujące z punktu widzenia cyberbezpieczeństwa kampanie.| CERT Polska
Problem oszustów działających za pośrednictwem platform społecznościowych jest wciąż aktualny. Firma Meta nie zrealizowała wszystkich przedstawionych w ubiegłym roku przez ekspertów z działającego w NASK zespołu CERT Polska postulatów, które miały zwiększyć bezpieczeństwo Polaków korzystających z serwisów społecznościowych.| CERT Polska
W oprogramowaniu Streamsoft Prestiż wykryto 2 podatności różnego typu (CVE-2024-11504 oraz CVE-2024-7407).| CERT Polska
W aplikacji Fast CAD Reader (Beijing Honghu Yuntu Technology) wykryto podatność CVE-2025-2098 typu Incorrect Privilege Assignment.| CERT Polska
W oprogramowaniu OXARI ServiceDesk firmy Infonet Projekt SA wykryto podatność typu Incorrect Authorization (CVE-2025-1542).| CERT Polska
W popularnym kontrolerze Ingress-Nginx w wersjach do 1.12.0 i 1.11.4 włącznie znaleziono krytyczne podatności umożliwiające zdalne wykonanie kodu bez konieczności uwierzytelnienia. Ingress-Nginx Ingress-Nginx jest domyślnym kontrolerem zarządzania ruchem sieciowym oferującym funkcje reverse-proxy oraz load balancingu w klastrach Kubernetes.| CERT Polska
W oprogramowaniu SIMPLE.ERP wykryto 2 podatności różnego typu (CVE-2024-8773 oraz CVE-2024-8774).| CERT Polska
W oprogramowaniu BotSense NASK-PIB wykryto podatność typu Improper Neutralization of Value Delimiters (CVE-2025-1774).| CERT Polska
W oprogramowaniu MLJAR PlotAI wykryto podatność typu Command Injection (CVE-2025-1497).| CERT Polska
W oprogramowaniu kamer Smartwares CIP-37210AT oraz C724IP wykryto 3 podatności różnego typu (od CVE-2024-13892 do CVE-2024-13894).| CERT Polska
W oprogramowaniu CyberArk Endpoint Privilege Manager wykryto 5 podatności różnego typu (od CVE-2025-22270 do CVE-2025-22274).| CERT Polska
W aplikacji DaVinci Resolve wykryto podatność CVE-2025-1413 typu Incorrect Privilege Assignment.| CERT Polska
W oprogramowaniu Wyn Enterprise wykryto podatność CVE-2024-9150 pozwalającą uwierzytelnionemu użytkownikowi na eskalację uprawnień.| CERT Polska
W oprogramowaniu DocsGPT wykryto podatność CVE-2025-0868 typu Command Injection.| CERT Polska
Nowy rok przynosi kolejne rozwiązania podnoszące bezpieczeństwo internetu i jego użytkowników. Prezentujemy dziś serwis, w ramach którego każdy - zarówno osoba prywatna, jak i mała firma czy duża instytucja publiczna, może budować i rozwijać swoje cyberbezpieczeństwo.| CERT Polska
W oprogramowaniu authentik wykryto podatność CVE-2024-11623 typu Stored XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu Eura7 CMSmanager wykryto podatność CVE-2024-11348 typu XSS (Cross-site Scripting).| CERT Polska
Ponad rok temu zaczęliśmy publikować listy domen w nowym formacie. Z dniem 1 czerwca 2025 r. zostanie wycofana pierwsza wersja Listy Ostrzeżeń przed niebezpiecznymi stronami.| CERT Polska
W oprogramowaniu Kentico CMS wykryto podatność CVE-2024-12907 typu XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu CTFd wykryto 2 podatności (CVE-2024-11716 oraz CVE-2024-11717).| CERT Polska
W aplikacji com.rlk.weathers Infinix Mobile wykryto podatność CVE-2024-12993 umożliwiającą ujawnienie lokalizacji użytkownika.| CERT Polska
W oprogramowaniu DirectAdmin Evolution Skin wykryto podatność CVE-2024-10385 typu XSS (Cross-site Scripting).| CERT Polska
W aplikacji mobilnej Govee Home na systemy Android i iOS wykryto podatność typu Incorrect Authorization (CVE-2023-4617).| CERT Polska
W oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions wykryto 2 podatności (CVE-2024-4995 i CVE-2024-4996).| CERT Polska
W oprogramowaniu Tungsten Automation (Kofax) TotalAgility wykryto 2 podatności typu XSS (CVE-2024-7874 oraz CVE-2024-7875).| CERT Polska
Materiał dotyczący oszustw na platformach jest już widoczny w serwisach firmy Meta, ale stanowisko CERT Polska pozostaje niezmienne. Potrzebujemy rozwiązań, które podniosą bezpieczeństwo Polaków.| CERT Polska
W aplikacji com.transsion.agingfunction instalowanej na urządzeniach Infinix Mobile wykryto podatność umożliwiającą nieautoryzowane przywrócenie urządzenia do ustawień fabrycznych (CVE-2024-10576).| CERT Polska
W odpowiedzi na coraz częstsze sygnały dotyczące ograniczania widoczności postów linkujących do opracowanej przez ekspertów CERT Polska analizy oszustw na platformach społecznościowych, chcemy podkreślić, że nie ma w nas zgody na takie działania.| CERT Polska
Obowiązki szefa CERT Polska 1 grudnia przejmie Marcin Dudek. Natomiast Sebastian Kondraszuk, dotychczasowy szef Zespołu, obejmie nowo utworzoną funkcję architekta współpracy sektorowych CSIRT-ów.| CERT Polska
Sekretny sposób na zarabianie pieniędzy wyjawiony przez celebrytę, czy możliwość wzbogacenia się na rządowym programie inwestowania w spółki państwowe - takie informacje umieszczane przez oszustów w reklamach, które znajdujemy na platformach społecznościowych mają skłaniać do kliknięcia w linki prowadzące do stron, których celem jest nam zaszkodzić.| CERT Polska
Captcha, czyli „Udowodnij, że nie jesteś robotem” to znany element wielu stron internetowych. Ponieważ nie wzbudza podejrzeń, bywa czasami wykorzystywany przez cyberprzestepców do dystrybucji szkodliwego oprogramowania.| CERT Polska
W oprogramowaniu TCL Camera wykryto podatność typu Path Traversal (CVE-2024-11136).| CERT Polska
W oprogramowaniu DInGO dLibra Poznańskiego Centrum Superkomputerowo-Sieciowego wykryto podatność typu Reflected XSS (CVE-2024-7124).| CERT Polska
W oprogramowaniu terminali PAX POS bazujących na Androidzie wykryto podatność pozwalającą na eskalację uprawnień (CVE-2023-42133).| CERT Polska
Zespół CERT Polska zaobserwował w ostatnich tygodniach nowe próbki złośliwego oprogramowania na urządzenia mobilne "Joker" w Google Play Store wycelowane między innymi w polskich użytkowników.| CERT Polska
W oprogramowaniu Redlink SDK firmy Vercom S.A. wykryto podatność typu Resource Injection i nadano jej identyfikator CVE-2024-6051.| CERT Polska
W oprogramowaniu MegaBIP wykryto 2 podatności różnego typu (CVE-2024-6662 oraz CVE-2024-6880).| CERT Polska
W tegorocznej edycji cyklu #CyberParawan zamiast leżeć na plaży, zabraliśmy Was w podróż przez letnie strategie cyberprzestępców.| CERT Polska
W oprogramowaniu HyperView Geoportal Toolkit wykryto 2 podatności różnego typu (CVE-2024-6449 oraz CVE-2024-6450).| CERT Polska
W oprogramowaniu ConnX ESP HR Management wykryto podatność typu Stored XSS i nadano jej identyfikator CVE-2024-7269.| CERT Polska
W oprogramowaniu routerów KAON AR2140 wykryto podatność typu Command Injection (CVE-2024-3659).| CERT Polska
W oprogramowaniu EZD RP wykryto 3 podatności różnego typu (od CVE-2024-7265 do CVE-2024-7267).| CERT Polska
CERT Polska od roku ma status CNA (CVE Numbering Authority), co pozwala na nadawanie identyfikatorów i publikowanie informacji o podatnościach w programie CVE. W ciągu ostatnich 12 miesięcy nadaliśmy 73 takie identyfikatory podatnościom, także tym odkrytym w ramach naszych działań badawczych.| CERT Polska
W oprogramowaniu Stackposts Social Marketing Tool wykryto podatność typu Cross-site Scripting i nadano jej identyfikator CVE-2024-7127.| CERT Polska
Wakacje to czas, kiedy słowo „bilet” nabiera szczególnego znaczenia. A skoro „bilet” to wakacyjne słowo-klucz, to jest to też świetny wabik wykorzystywany przez wirtualnych oszustów.| CERT Polska
W ramach badań własnych CERT Polska znalazł 2 podatności (CVE-2024-3798 oraz CVE-2024-3799) w otwartoźródłowym projekcie Phoniebox.| CERT Polska
W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6527.| CERT Polska
W oprogramowaniu urządzeń firmy Longse Technology wykryto 4 podatności (od CVE-2024-5631 do CVE-2024-5634).| CERT Polska
W oprogramowaniu Edito CMS wykryto podatność CVE-2024-4836 pozwalającą na pobieranie plików konfiguracyjnych.| CERT Polska
W oprogramowaniu SOWA OPAC wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-6050.| CERT Polska
W oprogramowaniu Concept Intermedia S@M CMS wykryto 3 podatności różnego typu (CVE-2024-3800, CVE-2024-3801 oraz CVE-2024-3816).| CERT Polska
We wtyczce AdmirorFrames do platformy Joomla! wykryto 3 podatności różnego typu i nadano im identyfikatory CVE-2024-5735, CVE-2024-5736 i CVE-2024-5737.| CERT Polska
W oprogramowaniu CRUDDIY wykryto podatność typu OS Command Injection (CVE-2024-4748).| CERT Polska
W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6160.| CERT Polska
Czy wakacje to dobry czas dla cyberprzestepców? A może skoro w biurach panują pustki i ludzie zamiast przed ekranem spędzają czas na plaży, to oszuści również robią sobie wolne? Niestety nie. Wakacyjne miesiące to dla cybeprzestępców czas jak każdy inny.| CERT Polska
W oprogramowaniu 2ClickPortal wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-5961.| CERT Polska
W oprogramowaniu MegaBIP wykryto 3 krytyczne podatności różnego typu i nadano im identyfikatory CVE-2024-1576, CVE-2024-1577 oraz CVE-2024-1659.| CERT Polska
W oprogramowaniach Eurosoft Przychodnia, drEryk Gabinet i SimpleCare wykryto podatności polegające na stosowaniu tego samego, zakodowanego na stałe, hasła do bazy danych. Podatnościom przypisano identyfikatory CVE-2024-1228, CVE-2024-3699 i CVE-2024-3700.| CERT Polska
Wybory do parlamentu europejskiego już w ten weekend, ale to wcale nie znaczy, że 10 czerwca ten tekst przestanie być aktualny. I to nawet nie dlatego, że w 2025 roku czekają nas wybory prezydenckie.| CERT Polska
DNS4EU to element strategii cyberbezpieczeństwa opublikowanej przez Komisję Europejską. Celem projektu jest wprowadzenie prywatnego i bezpiecznego publicznego resolvera DNS w ramach Unii Europejskiej, co przyczyni się do budowania niezależności w obszarze usług cyfrowych.| CERT Polska
CERT Polska wydał rekomendacje w związku z obserwowaną zwiększoną liczbę ataków na przemysłowe systemy sterowania (ICS/OT) dostępne bezpośrednio z internetu.| CERT Polska
W oprogramowaniu Online Shopping System Advanced wykryto podatność typu Reflected XSS (CVE-2024-3579).| CERT Polska
W oprogramowaniu Ant Media Server (Community Edition) wykryto podatność typu Incorrect Authorization (CVE-2024-3462).| CERT Polska
W oprogramowaniu CemiPark wykryto 3 podatności różnego typu (od CVE-2024-4423 do CVE-2024-4425).| CERT Polska
W oprogramowaniu Kioware for Windows wykryto 3 podatności różnego typu (CVE-2024-3459, CVE-2024-3460 oraz CVE-2024-3461).| CERT Polska
CERT Polska obserwuje złośliwą kampanię e-mail prowadzoną przez grupę APT28 przeciwko polskim instytucjom rządowym.| CERT Polska
W oprogramowaniu CraftBeerPi 4 wykryto podatność typu Improper Input Validation (CVE-2024-3955).| CERT Polska
Za nami 27. edycja konferencji Secure. Były to dwa dni wypełnione wiedzą i ważnymi dyskusjami, ale także znakomita okazja do nawiązania kontaktów z innymi specjalistami z dziedziny cyberbezpieczeństwa. Przestrzeń naszej konferencji to miejsce, w którym mogą się spotkać różne spojrzenia, podejścia i aspekty (cyber)bezpieczeństwa.| CERT Polska
Nowoczesne technologie w obszarze cyberbezpieczeństwa są dla nas tylko narzędziem wspierającym nasze codzienne działania. To ludzie, którzy ich używają naprawdę dokonują zmian. W CERT Polska mamy takich ludzi, a 2023 rok przyniósł nam wiele istotnych zmian, o których opowiadamy w tej publikacji.| CERT Polska
Czy sztuczna inteligencja przejmie władzę nad światem? Czy AI jest w stanie zmylić naszą percepcję? Czy łatwo jest odróżnić rzeczywistość od manipulacji? Czym jest deepfake i czy zawsze oznacza coś złego? I czy człowiek może pokochać maszynę?| CERT Polska
We wtyczce Apaczka do platformy PrestaShop wykryto podatność typu Files or Directories Accessible to External Parties (CVE-2024-2759).| CERT Polska
W oprogramowaniu CDeX wykryto 3 podatności różnego typu (od CVE-2024-2463 do CVE-2024-2465).| CERT Polska
