W oprogramowaniu PAD CMS wykryto 9 podatności różnego typu (CVE-2025-7063, CVE-2025-7065 oraz od CVE-2025-8116 do CVE-2025-8122)| CERT Polska
W oprogramowaniu CivetWeb wykryto podatność typu Improper Neutralization of NUL Character (CVE-2025-9648).| CERT Polska
W oprogramowaniu GALAYOU G2 wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-9983).| CERT Polska
Współczesne ataki phishingowe wykorzystują dokładne kopie wizualne znanych serwisów, co uniemożliwia rozpoznanie oszustwa na podstawie wyglądu strony. Przedstawiamy metodę analizy adresów URL jako jedyną niezawodną technikę weryfikacji autentyczności witryn. Omawiamy również funkcje bezpieczeństwa przeglądarek wspierające użytkowników w identyfikacji prawdziwych domen.| cert.pl
W oprogramowaniu Sparkle wykryto 2 podatności typu Incorrect Authorization (CVE-2025-10015 i CVE-2025-10016)| CERT Polska
W oprogramowaniu urządzeń SMSEagle wykryto podatność typu SQL Injection (CVE-2025-10095).| CERT Polska
W oprogramowaniu ITCube CRM wykryto podatność typu Path Traversal (CVE-2025-5993).| CERT Polska
W oprogramowaniu GOV CMS wykryto podatność typu SQL Injection (CVE-2025-7385).| cert.pl
W oprogramowaniu Payload CMS wykryto 2 podatności różnego typu (CVE-2025-4643 oraz CVE-2025-4644)| CERT Polska
W oprogramowaniu OpenSolution QuickCMS wykryto 6 podatności różnego typu (od CVE-2025-54540 do CVE-2025-55175)| CERT Polska
W oprogramowaniu CGM CLININET wykryto 17 podatności różnego typu (pomiędzy CVE-2025-2313 a CVE-2025-30064)| CERT Polska
W oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext wykryto 3 podatności różnego typu (CVE-2025-54172, CVE-2025-54174 oraz CVE-2025-54175).| CERT Polska
W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).| cert.pl
W oprogramowaniu GIMP na systemy MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-8672).| CERT Polska
Oddajemy w Państwa ręce dokument, którego podstawowym celem jest wsparcie w procesie ustanawiania CSIRT-ów oraz rozwijania ich zdolności operacyjnych. Chcemy, żeby proces tworzenia zespołów cyberbezpieczeństwa przebiegał w sposób uporządkowany, a same zespoły działały spójnie i porównywalnie.| CERT Polska
W oprogramowaniu Flexibits Fantastical wykryto podatność typu Incorrect Authorization (CVE-2025-8533).| cert.pl
W oprogramowaniu TSplus Remote Access wykryto podatność umożliwiającą poznanie hasha PINu zabezpieczającego aplikację przed uruchomieniem (CVE-2025-5922).| CERT Polska
W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).| cert.pl
Gdzie zgłosić podatność? Przed zgłoszeniem znalezionej podatności do CERT Polska i upublicznieniem jej, zgłaszający powinien skontaktować się bezpośrednio z właścicielem podatnego systemu lub dostawcą oprogramowania. Jeśli nie jest możliwe znalezienie kontaktu, lub kontakt jest utrudniony, podatność należy zgłosić do właściwego CSIRT-u według obowiązującego zakresu odpowiedzialności, zgodnie z poniższym opisem: Do …| cert.pl
W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu| cert.pl
W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).| cert.pl
W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).| CERT Polska
W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).| CERT Polska
W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).| CERT Polska
W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)| CERT Polska
W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).| CERT Polska
W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).| CERT Polska
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).| CERT Polska
W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).| CERT Polska
Na początku roku uruchomiliśmy serwis moje.cert.pl, podnoszący i rozwijający cyberbezpieczeństwo dzięki szeregowi usług i narzędzi. Od startu w serwisie zarejestrowało się ponad 11 tysięcy użytkowników. To dla nich włączamy dziś nową funkcję – komunikaty o zagrożeniach.| CERT Polska
W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).| CERT Polska
W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).| CERT Polska
W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).| CERT Polska
W oprogramowaniu Symfonia Ready_ wykryto 4 podatności różnego typu (od CVE-2025-1980 do CVE-2025-1983).| CERT Polska
W module Internet Starter oprogramowania SoftCOM iKSORIS wykryto 11 podatności różnego typu.| CERT Polska
Za nami kolejny rok działania zespołu CERT Polska. Rok absolutnie rekordowy, jeśli weźmiemy pod uwagę praktycznie wszystkie statystyki przytaczane w naszych dotychczasowych raportach. Za tymi liczbami stoi codzienna praca ekspertów, którzy każdego dnia dbają o bezpieczeństwo Polaków w sieci. O tej pracy, kluczowych wyzwaniach, z którymi się mierzymy, oraz o analizowanych zagrożeniach jest tegoroczny raport.| CERT Polska
Krajobraz zagrożeń występujących w polskiej cyberprzestrzeni ulega ewolucji. Z jednej strony obserwujemy dobrze znane z ostatnich lat kampanie phishingowe, których celem jest wyłudzenie loginów i haseł do popularnych usług e-mail lub serwisów społecznościowych, czy strony z fałszywymi ogłoszeniami imitujące serwisy, takie jak OLX bądź Allegro. Z drugiej strony pojawiają się nowe, interesujące z punktu widzenia cyberbezpieczeństwa kampanie.| CERT Polska
Problem oszustów działających za pośrednictwem platform społecznościowych jest wciąż aktualny. Firma Meta nie zrealizowała wszystkich przedstawionych w ubiegłym roku przez ekspertów z działającego w NASK zespołu CERT Polska postulatów, które miały zwiększyć bezpieczeństwo Polaków korzystających z serwisów społecznościowych.| CERT Polska
W oprogramowaniu Streamsoft Prestiż wykryto 2 podatności różnego typu (CVE-2024-11504 oraz CVE-2024-7407).| CERT Polska
W aplikacji Fast CAD Reader (Beijing Honghu Yuntu Technology) wykryto podatność CVE-2025-2098 typu Incorrect Privilege Assignment.| CERT Polska
W oprogramowaniu OXARI ServiceDesk firmy Infonet Projekt SA wykryto podatność typu Incorrect Authorization (CVE-2025-1542).| CERT Polska
W popularnym kontrolerze Ingress-Nginx w wersjach do 1.12.0 i 1.11.4 włącznie znaleziono krytyczne podatności umożliwiające zdalne wykonanie kodu bez konieczności uwierzytelnienia. Ingress-Nginx Ingress-Nginx jest domyślnym kontrolerem zarządzania ruchem sieciowym oferującym funkcje reverse-proxy oraz load balancingu w klastrach Kubernetes.| CERT Polska
W oprogramowaniu SIMPLE.ERP wykryto 2 podatności różnego typu (CVE-2024-8773 oraz CVE-2024-8774).| CERT Polska
W oprogramowaniu BotSense NASK-PIB wykryto podatność typu Improper Neutralization of Value Delimiters (CVE-2025-1774).| CERT Polska
W oprogramowaniu MLJAR PlotAI wykryto podatność typu Command Injection (CVE-2025-1497).| CERT Polska
W oprogramowaniu kamer Smartwares CIP-37210AT oraz C724IP wykryto 3 podatności różnego typu (od CVE-2024-13892 do CVE-2024-13894).| CERT Polska
W oprogramowaniu CyberArk Endpoint Privilege Manager wykryto 5 podatności różnego typu (od CVE-2025-22270 do CVE-2025-22274).| CERT Polska
W aplikacji DaVinci Resolve wykryto podatność CVE-2025-1413 typu Incorrect Privilege Assignment.| CERT Polska
W oprogramowaniu Wyn Enterprise wykryto podatność CVE-2024-9150 pozwalającą uwierzytelnionemu użytkownikowi na eskalację uprawnień.| CERT Polska
W oprogramowaniu DocsGPT wykryto podatność CVE-2025-0868 typu Command Injection.| CERT Polska
Nowy rok przynosi kolejne rozwiązania podnoszące bezpieczeństwo internetu i jego użytkowników. Prezentujemy dziś serwis, w ramach którego każdy - zarówno osoba prywatna, jak i mała firma czy duża instytucja publiczna, może budować i rozwijać swoje cyberbezpieczeństwo.| CERT Polska
W oprogramowaniu authentik wykryto podatność CVE-2024-11623 typu Stored XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu Eura7 CMSmanager wykryto podatność CVE-2024-11348 typu XSS (Cross-site Scripting).| CERT Polska
Ponad rok temu zaczęliśmy publikować listy domen w nowym formacie. Z dniem 1 czerwca 2025 r. zostanie wycofana pierwsza wersja Listy Ostrzeżeń przed niebezpiecznymi stronami.| CERT Polska
W oprogramowaniu Kentico CMS wykryto podatność CVE-2024-12907 typu XSS (Cross-site Scripting).| CERT Polska
W oprogramowaniu CTFd wykryto 2 podatności (CVE-2024-11716 oraz CVE-2024-11717).| CERT Polska
W aplikacji com.rlk.weathers Infinix Mobile wykryto podatność CVE-2024-12993 umożliwiającą ujawnienie lokalizacji użytkownika.| CERT Polska
W oprogramowaniu DirectAdmin Evolution Skin wykryto podatność CVE-2024-10385 typu XSS (Cross-site Scripting).| CERT Polska
W aplikacji mobilnej Govee Home na systemy Android i iOS wykryto podatność typu Incorrect Authorization (CVE-2023-4617).| CERT Polska
W oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions wykryto 2 podatności (CVE-2024-4995 i CVE-2024-4996).| CERT Polska
W oprogramowaniu Tungsten Automation (Kofax) TotalAgility wykryto 2 podatności typu XSS (CVE-2024-7874 oraz CVE-2024-7875).| CERT Polska
Materiał dotyczący oszustw na platformach jest już widoczny w serwisach firmy Meta, ale stanowisko CERT Polska pozostaje niezmienne. Potrzebujemy rozwiązań, które podniosą bezpieczeństwo Polaków.| CERT Polska
W aplikacji com.transsion.agingfunction instalowanej na urządzeniach Infinix Mobile wykryto podatność umożliwiającą nieautoryzowane przywrócenie urządzenia do ustawień fabrycznych (CVE-2024-10576).| CERT Polska
W odpowiedzi na coraz częstsze sygnały dotyczące ograniczania widoczności postów linkujących do opracowanej przez ekspertów CERT Polska analizy oszustw na platformach społecznościowych, chcemy podkreślić, że nie ma w nas zgody na takie działania.| CERT Polska
Obowiązki szefa CERT Polska 1 grudnia przejmie Marcin Dudek. Natomiast Sebastian Kondraszuk, dotychczasowy szef Zespołu, obejmie nowo utworzoną funkcję architekta współpracy sektorowych CSIRT-ów.| CERT Polska
Sekretny sposób na zarabianie pieniędzy wyjawiony przez celebrytę, czy możliwość wzbogacenia się na rządowym programie inwestowania w spółki państwowe - takie informacje umieszczane przez oszustów w reklamach, które znajdujemy na platformach społecznościowych mają skłaniać do kliknięcia w linki prowadzące do stron, których celem jest nam zaszkodzić.| CERT Polska
Captcha, czyli „Udowodnij, że nie jesteś robotem” to znany element wielu stron internetowych. Ponieważ nie wzbudza podejrzeń, bywa czasami wykorzystywany przez cyberprzestepców do dystrybucji szkodliwego oprogramowania.| CERT Polska
W oprogramowaniu TCL Camera wykryto podatność typu Path Traversal (CVE-2024-11136).| CERT Polska
W oprogramowaniu DInGO dLibra Poznańskiego Centrum Superkomputerowo-Sieciowego wykryto podatność typu Reflected XSS (CVE-2024-7124).| CERT Polska
W oprogramowaniu terminali PAX POS bazujących na Androidzie wykryto podatność pozwalającą na eskalację uprawnień (CVE-2023-42133).| CERT Polska
Zespół CERT Polska zaobserwował w ostatnich tygodniach nowe próbki złośliwego oprogramowania na urządzenia mobilne "Joker" w Google Play Store wycelowane między innymi w polskich użytkowników.| CERT Polska
W oprogramowaniu Redlink SDK firmy Vercom S.A. wykryto podatność typu Resource Injection i nadano jej identyfikator CVE-2024-6051.| CERT Polska
W oprogramowaniu MegaBIP wykryto 2 podatności różnego typu (CVE-2024-6662 oraz CVE-2024-6880).| CERT Polska
W tegorocznej edycji cyklu #CyberParawan zamiast leżeć na plaży, zabraliśmy Was w podróż przez letnie strategie cyberprzestępców.| CERT Polska
W oprogramowaniu HyperView Geoportal Toolkit wykryto 2 podatności różnego typu (CVE-2024-6449 oraz CVE-2024-6450).| CERT Polska
W oprogramowaniu ConnX ESP HR Management wykryto podatność typu Stored XSS i nadano jej identyfikator CVE-2024-7269.| CERT Polska
W oprogramowaniu routerów KAON AR2140 wykryto podatność typu Command Injection (CVE-2024-3659).| CERT Polska
W oprogramowaniu EZD RP wykryto 3 podatności różnego typu (od CVE-2024-7265 do CVE-2024-7267).| CERT Polska
CERT Polska od roku ma status CNA (CVE Numbering Authority), co pozwala na nadawanie identyfikatorów i publikowanie informacji o podatnościach w programie CVE. W ciągu ostatnich 12 miesięcy nadaliśmy 73 takie identyfikatory podatnościom, także tym odkrytym w ramach naszych działań badawczych.| CERT Polska
W oprogramowaniu Stackposts Social Marketing Tool wykryto podatność typu Cross-site Scripting i nadano jej identyfikator CVE-2024-7127.| CERT Polska
Wakacje to czas, kiedy słowo „bilet” nabiera szczególnego znaczenia. A skoro „bilet” to wakacyjne słowo-klucz, to jest to też świetny wabik wykorzystywany przez wirtualnych oszustów.| CERT Polska
W ramach badań własnych CERT Polska znalazł 2 podatności (CVE-2024-3798 oraz CVE-2024-3799) w otwartoźródłowym projekcie Phoniebox.| CERT Polska
W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6527.| CERT Polska
W oprogramowaniu urządzeń firmy Longse Technology wykryto 4 podatności (od CVE-2024-5631 do CVE-2024-5634).| CERT Polska
W oprogramowaniu Edito CMS wykryto podatność CVE-2024-4836 pozwalającą na pobieranie plików konfiguracyjnych.| CERT Polska
W oprogramowaniu SOWA OPAC wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-6050.| CERT Polska
W oprogramowaniu Concept Intermedia S@M CMS wykryto 3 podatności różnego typu (CVE-2024-3800, CVE-2024-3801 oraz CVE-2024-3816).| CERT Polska
We wtyczce AdmirorFrames do platformy Joomla! wykryto 3 podatności różnego typu i nadano im identyfikatory CVE-2024-5735, CVE-2024-5736 i CVE-2024-5737.| CERT Polska
W oprogramowaniu CRUDDIY wykryto podatność typu OS Command Injection (CVE-2024-4748).| CERT Polska
W oprogramowaniu MegaBIP wykryto kolejną podatność typu SQL Injection i nadano jej identyfikator CVE-2024-6160.| CERT Polska
Czy wakacje to dobry czas dla cyberprzestepców? A może skoro w biurach panują pustki i ludzie zamiast przed ekranem spędzają czas na plaży, to oszuści również robią sobie wolne? Niestety nie. Wakacyjne miesiące to dla cybeprzestępców czas jak każdy inny.| CERT Polska
W oprogramowaniu 2ClickPortal wykryto podatność typu Reflected XSS i nadano jej identyfikator CVE-2024-5961.| CERT Polska
W oprogramowaniu MegaBIP wykryto 3 krytyczne podatności różnego typu i nadano im identyfikatory CVE-2024-1576, CVE-2024-1577 oraz CVE-2024-1659.| CERT Polska
W oprogramowaniach Eurosoft Przychodnia, drEryk Gabinet i SimpleCare wykryto podatności polegające na stosowaniu tego samego, zakodowanego na stałe, hasła do bazy danych. Podatnościom przypisano identyfikatory CVE-2024-1228, CVE-2024-3699 i CVE-2024-3700.| CERT Polska
Wybory do parlamentu europejskiego już w ten weekend, ale to wcale nie znaczy, że 10 czerwca ten tekst przestanie być aktualny. I to nawet nie dlatego, że w 2025 roku czekają nas wybory prezydenckie.| CERT Polska
DNS4EU to element strategii cyberbezpieczeństwa opublikowanej przez Komisję Europejską. Celem projektu jest wprowadzenie prywatnego i bezpiecznego publicznego resolvera DNS w ramach Unii Europejskiej, co przyczyni się do budowania niezależności w obszarze usług cyfrowych.| CERT Polska
CERT Polska wydał rekomendacje w związku z obserwowaną zwiększoną liczbę ataków na przemysłowe systemy sterowania (ICS/OT) dostępne bezpośrednio z internetu.| CERT Polska
W oprogramowaniu Online Shopping System Advanced wykryto podatność typu Reflected XSS (CVE-2024-3579).| CERT Polska
W oprogramowaniu Ant Media Server (Community Edition) wykryto podatność typu Incorrect Authorization (CVE-2024-3462).| CERT Polska
W oprogramowaniu CemiPark wykryto 3 podatności różnego typu (od CVE-2024-4423 do CVE-2024-4425).| CERT Polska