Podatność w oprogramowaniu DRIMO CMS
W oprogramowaniu DRIMO CMS wykryto podatność typu Reflected Cross-site Scripting (CVE-2026-11772).
Podatność w oprogramowaniu routera Totolink EX1200L
W oprogramowaniu routera Totolink EX1200L wykryto podatność typu Stack-based Buffer Overflow (CVE-2026-44089).
OnyxC2 – infostealer “oferowany” jako profesjonalne narzędzie klasy enterprise
Jak donoszą badacze z Blackfog na początku 2026 r. zaobserwowano nowe zagrożenie – infostealer o nazwie OnyxC2. To co go wyróżnia to przede wszystkim profesjonalny model dystrybucji. Jest oferowany na forach dla cyberprzestępców. Za równowartość $250 miesię...
Nie musisz dopłacać za spokój
Czy to normalne, że czytnik linii papilarnych znika z podstawowych konfiguracji urządzenia i jest sztucznie zarezerwowany tylko dla droższych modeli laptopa? Analizujemy rynkowe absurdy i pokazujemy, jak architektura Secured-core PC, układy TPM 2.0 oraz wbu...
Weekendowa Lektura: odcinek 681 [2026-06-19]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Znajdziecie w nim – jak zwykle – istotne informacje z obszaru cyberbezpieczeństwa obejmujące miniony tydzień. Dajcie znać w komentarzach, które tematy najbardziej Was zaciekawiły. Miłego klikania! W dzisiejs...
Podatności w oprogramowaniu UBB.threads
W oprogramowaniu UBB.threads wykryto 6 podatności różnego typu (od CVE-2026-54219 do CVE-2026-54224)
Podatności w oprogramowaniu LMS
W oprogramowaniu LMS (LAN Management System) wykryto 3 podatności różnego typu (od CVE-2026-40455 do CVE-2026-40457)
Podatność w kompilatorze 8cc
W kompilatorze 8cc wykryto podatność typu Out-of-bounds Read (CVE-2026-50643).
Brytyjskie ICO nałożyło prawie 1 mln £ kary za niewykrycie incydentu przez ~dwa lata
Brytyjskie Information Commissioner’s Office (ICO) ukarało grzywną w wysokości prawie 1 mln £ spółki South Staffordshire Plc i South Staffordshire Water Plc. Jest to następstwo incydentu bezpieczeństwa, który pozostał niewykryty przez ~dwa lata. Naruszenie...
Co oglądało aż 2500 osób na żywo, a kolejne 7500 zamierza obejrzeć z nagrania?!
W końcu szkolenie NIS2, gdzie nie umiera się z nudów, dziękujemy Panu Marcinowi! To tylko jedna z wielu pozytywnych opinii wystawionych przez uczestników wczorajszego szkolenia Czy moja firma/instytucja podlega pod NIS2/KSC2, które odbyło się wczoraj (16 cz...
Błąd w popularnej wtyczce do WordPressa pozwala na przejęcie konta administratora (CVE-2026-8206 – Kirki)
WordPress to niewątpliwie najpopularniejszy na świecie system do zarządzania treścią (CMS) typu open source. Pozwala na łatwe tworzenie i zarządzanie stronami internetowymi bez konieczności znajomości programowania. O ile krytyczne błędy w samym silniku zda...
Podatność w bibliotece jansi
W bibliotece jansi wykryto podatność typu Heap-based Buffer Overflow (CVE-2026-8484).
AI nie naprawi za Ciebie produkcji. Ale szybko pokaże, gdzie boli
Widziałeś już pewnie te wszystkie efektowne pokazy na LinkedIn, w których AI „w 30 sekund robi robotę całego działu IT”? Wklejasz magiczny prompt, model wypluwa idealny raport, świat staje się piękny, a rozjechana produkcja sama wstaje z kolan. Bajka… No wi...
The Gentlemen – ransomware działający w modelu RaaS dostosowujący się do środowiska celu
Microsoft Threat Intelligence przeprowadził analizę odświeżonego wariantu ransomware The Gentlemen. Malware charakteryzuje się wysoce rozwiniętym mechanizmem self-propagation, czyli zdolnością do rozprzestrzeniania się w sieci. Ponadto, zaimplementowano w n...
Zaglądamy za kulisy cyfrowego kamuflażu…
OSINT stał się potężną bronią. Ale co się dzieje, gdy Twoi przeciwnicy – cyberprzestępcy, szpiedzy czy grupy APT – zaczną aktywnie zacierać ślady lub… podrzucać fałszywe dowody? Wkraczamy w erę Anti-OSINT i Anti-Forensics. Znajomość tych technik to już nie...
Podatność w oprogramowaniu Responsive FileManager
W oprogramowaniu Responsive FileManager wykryto podatność pozwalająca na zdalne wykonanie kodu (CVE-2026-5482).
Podatność w oprogramowaniu Quick.CMS
W oprogramowaniu Quick.CMS wykryto podatność typu Deserialization of Untrusted Data (CVE-2026-11860).
Dashlane potwierdza atak brute force, jednak dane użytkowników nie są zagrożone
31 maja 2026 do Dashlane wpłynęły zgłoszenia kilku użytkowników, którzy otrzymali e-mail informujący, że ich konto zostało zawieszone. Użytkownicy zgłaszali również problemy z logowaniem do usługi po zresetowaniu hasła (Master Password). TLDR: Zespół Dashla...
Nowość w usłudze Microsoft Defender: zainfekowana maszyna zostanie automatycznie odcięta od sieci
Wyobraźmy sobie sytuację, w której na naszą służbową skrzynkę przychodzi wiadomość z atrakcyjną ofertą biznesową. Szczegóły mają być przedstawione w załączonym dokumencie. W mailu widnieje prośba o pilne zapoznanie się z treścią oraz możliwie jak najszybszą...
Weekendowa Lektura: odcinek 680 [2026-06-12]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Opisy nowych zmagań badaczy z cyberprzestępcami, szczegóły świeżo odkrytych luk, analizy nowych kampanii – każdy znajdzie coś dla siebie. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części...
Alert. Ataki na polskie konta Gmail! Dostęp do skrzynek próbuje uzyskać grupa hackerska związana z rządem Białorusi
Jak donosi CERT Polska: Przejęte skrzynki są przeszukiwane pod kątem interesujących z punktu widzenia atakujących informacji, takich jak lista kontaktowa (do typowania dalszych celów kampanii), wrażliwe dokumenty czy powiązane konta (np. w mediach społeczno...
Kampania phishingowa grupy UNC1151/Ghostwriter na pocztę Gmail
W ostatnim czasie obserwujemy ataki grupy UNC1151/Ghostwriter na pocztę Gmail. Grupa ta od kilku lat regularnie atakuje skrzynki pocztowe polskich obywateli, ale ataki te w przeszłości dotyczyły innych dostawców poczty. Wykorzystywane techniki z biegiem cza...
Podatność w oprogramowaniu Golem OEE MES
W oprogramowaniu Golem OEE MES wykryto podatność typu Path Traversal (CVE-2026-8464).
Podatność w oprogramowaniu Aix-DB
W oprogramowaniu Aix-DB wykryto podatność typu Missing Authentication for Critical Function (CVE-2026-8335).
Podatności w oprogramowaniu Logseq
W oprogramowaniu Logseq wykryto 4 podatności różnego typu (CVE-2026-9279 oraz od CVE-2026-47899 do CVE-2026-47901)
Najgłupszy atak roku! Instagram wdrożył AI a hakerzy przejmowali nim konta użytkowników. Wystarczyło poprosić.
Kto może, wdraża AI, gdzie może. Bo taki mamy klimat. Instagram też wdrożył, ale w sposób, który zasługuje na nagrodę Darwina, bo ich inteligentny bot każdemu umożliwiał przejęcie konta dowolnego użytkownika. Wystarczyło poprosić o zmianę e-maila… “Cześć gu...
Weekendowa Lektura: odcinek 679 [2026-06-07]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Jest już wprawdzie niedziela, ale przy odrobinie determinacji zdążycie przejrzeć wszystkie linki, które dla Was uzbieraliśmy, a zatem miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabu...
Vibecoding: zobacz jak tworzyć aplikacje z AI, nawet jeśli nie potrafisz programować!
Ruszamy z cyklem szkoleń o AI. Ale to nie będzie kolejny nudny przegląd pierdyliarda narzędzi, które dodały jakąś funkcję AI i służą np. do tworzenia piękny prezentacji, czy (małosensowna aktualnie) nauka pisania promptów albo pokazy tego, jak użyć LLM-a do...
Podatności w oprogramowaniu school-management-system
W oprogramowaniu school-management-system wykryto 2 podatności różnego typu (CVE-2026-47324 i CVE-2026-47325)
Ochrona dzieci przed pornografią – Rada Ministrów przyjęła projekt ustawy
Koniec z klikaniem “mam ukończone 18 lat”. Rząd przyjął projekt ustawy, który ma skutecznie zablokować nieletnim dostęp do pornografii w sieci. Czy tym razem rewolucja (wielokrotnie zapowiadana) zostanie wdrożona? I czy powinnismy dzieci chronić przed porno...
Podatności w oprogramowaniu Wirtualna Uczelnia
W oprogramowaniu Wirtualna Uczelnia wykryto 2 podatności różnego typu (CVE-2026-34906 i CVE-2026-34907)
Zaufanie liczone w tysiącach – moje.cert.pl
Z moje.cert.pl korzysta już ponad 20 tysięcy użytkowników. Świadomość potencjalnych podatności i załatanie ich zanim zostaną wykorzystane do nadużyć, to jeden z podstawowych elementów dbania o bezpieczeństwo domeny.
Podatność w oprogramowaniu KS-SOMED
W oprogramowaniu KS-SOMED wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-42251).
Podatności w oprogramowaniu SOPlanning
W oprogramowaniu SOPlanning wykryto 7 podatności różnego typu (od CVE-2026-40543 do CVE-2026-40549)
Weekendowa Lektura: odcinek 678 [2026-05-30]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Znajdziecie tu jak zwykle istotne informacje z obszaru cyberbezpieczeństwa obejmujące miniony tydzień. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej materiał pokazujący, jak...
Podatności w oprogramowaniu QuickCMS
W oprogramowaniu QuickCMS wykryto 2 podatności różnego typu (CVE-2026-33384 oraz CVE-2026-33386)
Podatność w aplikacji Kidsview
W aplikacji Kidsview wykryto podatność pozwalającą na ominięcie uwierzytelnienia (CVE-2026-8990).
Podatność w routerze D-Link DWR-X1820
W routerze D-Link DWR-X1820 wykryto wykorzystanie słabych poświadczeń (CVE-2026-4377).
Podatność w oprogramowaniu bzip2
W oprogramowaniu bzip2 wykryto podatność typu Out-of-bounds Write (CVE-2026-42250).
Podatności w oprogramowaniu central telefonicznych Slican
W oprogramowaniu central telefonicznych Slican wykryto 3 podatności różnego typu (CVE-2026-35087, CVE-2026-35089 oraz CVE-2026-35090)
Zero Trust dla drukarek, czyli jak Samuraj zarządza flotą, nie otwierając bram twierdzy
W rozmowach o Zero Trust Network niemal zawsze pojawiają się te same elementy: laptopy, serwery, tożsamości, aplikacje, dostęp do chmury. To ważne obszary. Ale w tej całej dyskusji bardzo łatwo pominąć obszar, w którym dane cyfrowe przestają być abstrakcją...
Zapraszamy na LIVE o NIS2/KSC2 z ekspertem Ministerstwa Cyfryzacji
W środę, 27 maja, o godz. 19:00 będziemy gościć na naszej YouTubowej antenie podcastu Na Podsłuchu Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, Łukasza Wojewodę — człowieka, który ogarnia polskie cyberbezpieczeństwo na poziomie kra...
Podatność w oprogramowaniu Szafir SDK
W oprogramowaniu Szafir SDK wykryto podatność typu Improper Certificate Verification (CVE-2026-9058).
Ominięcie uwierzytelniania w ZUS-ie i systemach e-Zdrowia, czyli o krok od cyberchaosu – [CVE-2026-9058] [Badanie e-podpisów, cz. 3]
Podatność umożliwiająca zalogowanie się na konto dowolnego użytkownika występowała w kilkunastu systemach administracji publicznej, w tym ZUS i CEZ. Wymagania? Dostęp do internetu, znajomość PESEL-u ofiary i posiadanie odpowiednich narzędzi. Przeprowadzenie...
Podsumowanie: Krytyczna podatność umożliwiająca całkowite ominięcie logowania w ZUS-ie, e-Sądzie i systemach e-Zdrowia
Co najmniej kilkanaście systemów administracji publicznej dostępnych z poziomu internetu było podatnych na atak umożliwiający całkowite pominięcie uwierzytelniania i zalogowanie się na konto dowolnej osoby fizycznej przy założeniu znajomości imienia, nazwis...
Hakowanie e-Sądu YubiKeyem – [Badanie e-podpisów, cz. 2]
Czy można wdrożyć zaawansowany zestaw zabezpieczeń tylko po to, aby przez przypadek zapomnieć go użyć? Dziś opowiem, jak powstała podatność umożliwiająca wejście na konto dowolnego użytkownika w większości systemów Ministerstwa Sprawiedliwości i kilku innyc...
Zdalne wykonanie kodu w SzafirHost – [CVE-2026-26928] [Badanie e-podpisów, cz. 1]
Opowieść o tym, jak chciałem naprawić prosty błąd w oprogramowaniu, a skończyłem, odkrywając szereg podatności o niepokojąco dużej sile rażenia. W pierwszej części skupimy się na analizie popularnego dodatku do przeglądarki, który przez niedopatrzenia w alg...
Podatność w oprogramowaniu kamer Kenik
W oprogramowaniu kamer Kenik wykryto podatność typu Path Traversal (CVE-2026-7766).
CRA – nowe obowiązki dla producentów oprogramowania i korzyści dla użytkowników
Cyber Resilience Act (CRA), czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847, wprowadza jednolite w całej Unii Europejskiej wymagania dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi. Celem regulacji jest zwiększenie poziomu...
Podatność w oprogramowaniu Lifetime
W oprogramowaniu OutSystems Lifetime wykryto podatność typu Authorization Bypass Through User-Controlled Key (CVE-2026-40127).
Weekendowa Lektura: odcinek 677 [2026-05-23]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury, zawierającego najciekawsze informacje na temat ataków, wycieków, podatności i szkodników, które zaobserwowali ostatnio eksperci. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularne...
Podatność w oprogramowaniu vifm
W oprogramowaniu vifm wykryto podatność typu przepełnienie bufora (CVE-2026-8997).
Podatności w oprogramowaniu STER
W oprogramowaniu STER wykryto 3 podatności różnego typu (od CVE-2026-25606 do CVE-2026-25608)
Podatność w oprogramowaniu Request Tracker
W oprogramowaniu Request Tracker wykryto podatność typu Cross-site Scripting (CVE-2026-6841).
Podatności w produktach firmy Sparx Systems
W produktach Pro Cloud Server oraz Enterprise Architect firmy Sparx Systems wykryto 5 podatności różnego typu (od CVE-2026-42096 do CVE-2026-42100)
Weekendowa Lektura: odcinek 676 [2026-05-16]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Jak Wam minął tydzień? Nam, jak zwykle, intensywnie – niby nie było większych afer, ale linków nagromadziło się całkiem sporo. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej...
Oszustwo na “zwrot przelewu BLIK na telefon”, którego nie ma…
Od kilku miesięcy co jakiś czas do naszej redakcji zgłaszały się osoby, które twierdziły, że ktoś chce je oszukać. Bo dostały niespodziewany przelew BLIK-iem na swój numer telefonu a chwilę później odebrały SMS-a lub telefon z prośbą o zwrot tego przelewu....
Podatności w oprogramowaniu DHTMLX
W oprogramowaniu DHTMLX wykryto 3 podatności różnego typu (CVE-2026-7182, CVE-2026-41552 oraz CVE-2026-41553)
Podatność w oprogramowaniu SzafirHost
W oprogramowaniu SzafirHost wykryto podatność typu Unrestricted Upload of File with Dangerous Type (CVE-2026-44088).
Podatność w oprogramowaniu Verint Verba
W oprogramowaniu Verint Verba wykryto podatność typu Cross-site Scripting (CVE-2026-21730).
Podatność w oprogramowaniu WEBCON BPS
W oprogramowaniu WEBCON BPS wykryto podatność typu Cross-site Scripting (CVE-2026-1630).
Podatności w oprogramowaniu Comarch ERP Optima
W oprogramowaniu Comarch ERP Optima wykryto 2 podatności różnego typu (CVE-2025-68420 oraz CVE-2025-68421)
Autonomiczny proces fuzzingu pod nadzorem LLM
Projekt CCN jest dofinansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego oraz ze środków Budżetu Państwa w ramach Programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027. Fuzzing to technika automatycznego testowania oprogramowania polegająca...
Podatność w bibliotece simdjson
W bibliotece simdjson wykryto podatność typu Integer Overflow (CVE-2026-8295).
Podatność w projekcie Code Runner MCP Server
W projekcie Code Runner MCP Server wykryto podatność typu Missing Authentication for Critical Function (CVE-2026-5029).
Architektura nadzoru: czyli jak wojownik IT włącza drukarki w system obrony zgodny z NIS2, DORA i zasadami cyberdojo
W poprzedniej części omówiliśmy utwardzanie drukarek i urządzeń wielofunkcyjnych (MFP) – zamykanie bram, wyłączanie niepotrzebnych usług i hartowanie konfiguracji. Jeśli przegapiłeś tę część – warto do niej wrócić. Jeśli masz to za sobą – czas na kolejny kr...
Podatności w oprogramowaniu ATutor
W oprogramowaniu ATutor wykryto 2 podatności typu Cross-site Scripting (CVE-2026-6909 oraz CVE-2026-6956)
⚠️ Uwaga na złośliwe SMS-y od mObywatela!
Otrzymujemy zgłoszenia, że na polskie numery telefonów rozsyłana jest kampania SMS-owa, w ramach której przestępcy wysyłają SMS-y z nazwy “mObywatel” — czyli dokładnie tej samej, którą posługuje się oficjalny rządowy system. Wiadomości brzmią wiarygodnie i...
[AKTUALIZACJA] Laboratoria Medyczne Optimed zhackowane, dane pacjentów zostały wykradzione
Laboratora Medyczne Optimed poinformowały o włamaniu na swoją infrastrukturę. Co ciekawe, spółka wie dokładnie kto stoi za atakiem (grupa z Białorusi) ale nie wie, czy dane pacjentów zostały wykradzione — w swoim oświadczeniu informuje o tym, że “nie można...
⚠️ Uwaga na e-maile od “Ergo Hestia”
Obserwujemy aktywną kampanię, w której oszuści podszywają się pod Ergo Hestia i masowo wysyłają e-maile do Polaków. Wiadomość dotyczy “wyrównania płatności” i obiecuje zwrot “279,79 PLN”. Jednakże, zamiast otrzymać pieniądze, ofiara może je stracić i to w w...
Nowa ustawa o KSC (NIS2) w praktyce. Co musisz wiedzieć, kiedy i za co dostaniesz karę oraz co powinieneś zrobić już teraz?
Od miesiąca w Polsce obowiązuje długo wyczekiwana nowelizacja ustawy o Krajowym Systemie Cyberbezpieczeństwa (tzw. KSC2), która implementuje unijną dyrektywę NIS2. Nowe prawo to nowe obowiązki dla tysięcy polskich firm, ale także surowe kary finansowe za ni...
Podatność w oprogramowaniu układowym bramek Modbus GW1101-1D(RS-485)-TB-P
W oprogramowaniu układowym bramek Modbus 3onedata GW1101-1D(RS-485)-TB-P wykryto podatność typu OS Command Injection (CVE-2025-13605).
Nowoczesne kadry w dobie cyfrowej transformacji
Gwałtowny rozwój technologii, ze szczególnym uwzględnieniem sztucznej inteligencji (AI), stanowi przełom dla wielu profesji. Ale to tylko jeden z powodów głębokich transformacji zachodzących w strukturze kadr sektorów IT, telekomunikacji czy cyberbezpieczeń...
Podatność w oprogramowaniu LEX Baza Dokumentów
W oprogramowaniu LEX Baza Dokumentów wykryto podatność typu Cross-site Scripting (CVE-2026-1493).
Masz Linuksa? To go szybko załataj!
Ujawniono atak na wszystkie Linuksy wydane po 2017 roku. W sieci pojawił się też kod exploita. Uruchomienie go na podatnej maszynie daje atakującemu prawa roota. Szczęście w nieszczęściu: ta podatność to Local a nie Remote Privilege Escalation. Mimo to, pol...
Podatności w oprogramowaniu Ollama
W oprogramowaniu Ollama wykryto 2 podatności prowadzące do zdalnego wykonania kodu (CVE-2026-42248, CVE-2026-42249)
⚠️ Uwaga na fałszywe e-maile o zwrocie podatku!
Otrzymujemy zgłoszenia dotyczące kampanii, w której przestępcy podszywając się pod pracowników Krajowej Administracji Skarbowej informują o przysługującym zwrocie podatku. Atak zaczyna się od e-maila, a kończy na stronie internetowej, gdzie ofiara, która uz...
Podatności w oprogramowaniu mpGabinet
W oprogramowaniu mpGabinet wykryto 3 podatności różnego typu (od CVE-2026-40550 do CVE-2026-40552)
Podatność w oprogramowaniu AdaptiveGRC
W oprogramowaniu AdaptiveGRC wykryto podatność typu Cross-site Scripting (CVE-2026-4313).
Podatność w oprogramowaniu GNU sed
W oprogramowaniu GNU sed wykryto podatność typu Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2026-5958).
Podatność w oprogramowaniu Fudo Enterprise
W oprogramowaniu Fudo Enterprise wykryto podatność typu Incorrect Authorization (CVE-2025-13480).
Podatności w oprogramowaniu PAC4J
W oprogramowaniu PAC4J wykryto 2 podatności różnego typu (CVE-2026-40458, CVE-2026-40459)
Podatność w oprogramowaniu GREENmod
W oprogramowaniu GREENmod wykryto podatność typu Server-Side Request Forgery (SSRF) (CVE-2026-5131).
Podatność w oprogramowaniu MCPHub
W projekcie MCPHub wykryto podatność typu Authorization Bypass (CVE-2025-13822).
Podatności w oprogramowaniu Hydrosystem Control System
W oprogramowaniu Hydrosystem Control System wykryto 3 podatności różnego typu (CVE-2026-4901, CVE-2026-34184, CVE-2026-34185)
Raport roczny z działalności CERT Polska w 2025 roku
Za nami kolejny rok działania zespołu CERT Polska. Był on wyjątkowy, ponieważ wieńczył trzecią dekadę naszej działalności – świętujemy właśnie 30. urodziny! Rok 2025 to czas pełen wyzwań, rozwoju i kształtowania cyberbezpieczeństwa w kompleksowy sposób – od...
Podatności w oprogramowaniu Mlflow
W oprogramowaniu Mlflow wykryto 2 podatności różnego typu (CVE-2026-33865, CVE-2026-33866)
Podatność w oprogramowaniu Bludit
W oprogramowaniu Bludit wykryto podatność typu Stored Cross-site Scripting (CVE-2026-4420).
Analiza cifrat: czy to ewolucja mobilnego RATa?
CERT Polska przeanalizował wieloetapowy łańcuch złośliwego oprogramowania na Androida, dystrybuowany z wykorzystaniem infrastruktury podszywającej się pod Booking. Opisana próbka pełni rolę droppera, który instaluje RAT oparty na usługach ułatwień dostępu i...
Podatności w oprogramowaniu Szafir
W oprogramowaniu Szafir wykryto 2 podatności różnego typu (CVE-2026-26927, CVE-2026-26928)
Analiza kampanii FvncBot
CERT Polska przeanalizował próbkę szkodliwego oprogramowania wykorzystującego wizerunek banku SGB, pochodzącą z kampanii FvncBot wycelowanej w polskich odbiorców. Złośliwa aplikacja instaluje dodatkowe moduły, przekonuje ofiarę do uruchomienia funkcji ułatw...
Podatność w oprogramowaniu Robolinho Update Software
W oprogramowaniu Robolinho Update Software wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-1612).
Podatności w oprogramowaniu Bludit
W oprogramowaniu Bludit wykryto 3 podatności różnego typu (od CVE-2026-25099 do CVE-2026-25101)
Podatność w oprogramowaniu KlinikaXP i KlinikaXP Insertino
W oprogramowaniu KlinikaXP i KlinikaXP Insertino wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-1958).
Podatność w oprogramowaniu Befree SDK
W oprogramowaniu Befree SDK wykryto podatność typu Cross-site Scripting (CVE-2025-12518).
Podatności w oprogramowaniu Raytha
W oprogramowaniu Raytha wykryto 11 podatności różnego typu (CVE-2025-15540 oraz od CVE-2025-69236 do CVE-2025-69243 oraz od CVE-2025-69245 do CVE-2025-69246)
Podatności w oprogramowaniu urządzeń tinycontrol
CERT Polska otrzymał zgłoszenia dotyczące 2 podatności (CVE-2025-11500 oraz CVE-2025-15587) wykrytych w wielu urządzeniach tinycontrol (tcPDU oraz LAN Controllers: LK3.5, LK3.9 i LK4).
Podatność w oprogramowaniu Streamsoft Prestiż
W oprogramowaniu Streamsoft Prestiż wykryto podatność polegającą na słabym kodowaniu tokenów (CVE-2026-0809).
CERT Polska ma 30 lat
Zespół CERT Polska świętuje 30-lecie swojej działalności. Przez trzy dekady zmieniło się niemal wszystko. Internet, z którego w latach 90. korzystała niewielka grupa użytkowników, dziś jest podstawową przestrzenią, dzięki której funkcjonuje wiele aspektów n...
Podatność w oprogramowaniu Coppermine Photo Gallery
W oprogramowaniu Coppermine Photo Gallery wykryto podatność typu Path Traversal (CVE-2026-3013).
Podatność w oprogramowaniu QuickCMS
W oprogramowaniu QuickCMS wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2026-1468).
Podatności w oprogramowaniu DobryCMS
W oprogramowaniu DobryCMS wykryto 2 podatności różnego typu (CVE-2025-12462 oraz CVE-2025-14532)
Podatności w oprogramowaniu CGM CLININET oraz CGM NETRAAD
W oprogramowaniu CGM CLININET oraz CGM NETRAAD wykryto 8 podatności różnego typu.
Podatność w oprogramowaniu Pro3W CMS
W oprogramowaniu Pro3W CMS wykryto podatność typu SQL Injection (CVE-2025-15498).
Podatności w oprogramowaniu PluXml CMS
W oprogramowaniu PluXml CMS wykryto 3 podatności różnego typu (od CVE-2026-24350 do CVE-2026-24352)
Podatność w oprogramowaniu Omega-PSIR
W oprogramowaniu Omega-PSIR wykryto podatność typu Cross-site Scripting (CVE-2026-1434).
Podatność w oprogramowaniu Simple.ERP
W oprogramowaniu Simple.ERP wykryto podatność typu SQL Injection (CVE-2026-1198).
Podatność w wielu programach Finka
W wielu programach Finka wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-13776).
Podatność w wielu urządzeniach Slican
W wielu urządzeniach firmy Slican wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-14577).
ClickFix w akcji: jak fake captcha może zaszyfrować całą firmę
Pomogliśmy dużej organizacji w analizie infekcji malware spowodowanej przez Fake CAPTCHA. W tym raporcie podsumowujemy nasze obserwacje oraz publikujemy szczegółową analizę znalezionego złośliwego oprogramowania.
Rok moje.cert.pl i nowe narzędzie – infrastruktura organizacji
Ponad pół miliona podatności udało się znaleźć dzięki udostępnieniu serwisu moje.cert.pl. To darmowe narzędzie, z którego korzysta już niemal 16 tysięcy użytkowników. To też ponad 19 tysięcy stron, które należą do instytucji, firm i osób prywatnych, których...
Podatności w oprogramowaniu Quick.Cart
W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2026-23796 i CVE-2026-23797)
Podatność w aplikacji mObywatel na iOS
W aplikacji mObywatel na system iOS wykryto podatność sktutkującą ujawnieniem danych osobowych nieuwierzytelnionemu atakującemu (CVE-2025-11598).
Podatność w oprogramowaniu EAP Legislator
W oprogramowaniu EAP Legislator wykryto podatność pozwalającą na rozpakowanie archiwum plików poza katalogiem docelowym (CVE-2026-1186).
Raport z incydentu w sektorze energii z 29 grudnia 2025 roku
Zespół CERT Polska przedstawia raport z analizy incydentu w sektorze energii, do którego doszło 29 grudnia 2025 roku. Ataki miały charakter destrukcyjny i były wymierzone w farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz przedsiębiorstwo z sekt...
Podatności w oprogramowaniu routera LV-WR21Q
W oprogramowaniu routera LV-WR21Q wykryto 2 podatności różnego typu (CVE-2025-12386 oraz CVE-2025-12387)
Podatność TCC Bypass w aplikacji Inkscape na MacOS
W aplikacji Inkscape na system MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-15523).
Podatności w oprogramowaniu Quick.Cart
W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2025-67683 oraz CVE-2025-67684)
Podatność w aplikacji mobilnej Crazy Bubble Tea
W aplikacji mobilnej Crazy Bubble Tea wykryto możliwość uzyskania danych osobowych innych użytkowników (CVE-2025-14317).
Podatność w oprogramowaniu Ysoft SafeQ 6
W oprogramowaniu Ysoft SafeQ 6 wykryto podatność polegająca na nieskutecznym maskowaniu hasła (CVE-2025-13175).
Podatności w oprogramowaniu kamery Vivotek IP7137
W oprogramowaniu kamery Vivotek IP7137 wykryto 4 podatności różnego typu (od CVE-2025-66049 do CVE-2025-66052)
Podatność w oprogramowaniu routerów KAON CG3000T/CG3000TC
W oprogramowaniu routerów KAON CG3000T oraz CG3000TC wykryto zaszyte poświadczenia umożliwiające zdalne przejęcie urządzenia (CVE-2025-7072).
Podatność w oprogramowaniu Asseco AMDX
Możliwość nieautoryzowanego dostępu do dokumentacji medycznej została wykryta w oprogramowaniu Asseco AMDX (CVE-2025-4596).
Podatności w oprogramowaniu Asseco InfoMedica Plus
W oprogramowaniu Asseco InfoMedica Plus wykryto 2 podatności różnego typu (CVE-2025-8306 oraz CVE-2025-8307).
Podatność w oprogramowaniu Kieback&Peter Neutrino-GLT
W oprogramowaniu Kieback&Peter Neutrino-GLT wykryto podatność umożliwiająca wstrzyknięcie komend (CVE-2025-6225).
Podatności w oprogramowaniu routera WODESYS WD-R608U
W oprogramowaniu routera WODESYS WD-R608U wykryto 5 podatności różnego typu (od CVE-2025-65007 do CVE-2025-65011)
Podatność w oprogramowaniu urządzeń Govee z łącznością sieciową
W oprogramowaniu urządzeń Govee z łącznością sieciową wykryto podatność umożliwiającą przejęcie sterowania nad cudzymi urządzeniami (CVE-2025-10910).
Podatności w oprogramowaniu WaveStore Server
W oprogramowaniu WaveStore Server wykryto 3 podatności typu Path Traversal (od CVE-2025-65074 do CVE-2025-65076)
Publiczne sieci Wi-Fi – czy jest się czego bać?
Jak to jest z tym publicznym Wi-Fi? W internecie wciąż możecie trafić na informacje, że korzystanie z takiej otwartej sieci w kawiarni, hotelu lub na lotnisku, to proszenie się o kłopoty, bo hakerzy mogą w ten sposób wykraść hasła i dane. I owszem tak BYŁO....
Podatność w oprogramowaniu OpenSolution QuickCMS
W oprogramowaniu OpenSolution QuickCMSwykryto podatność typu SQL Injection (CVE-2025-12465).
Podatność w oprogramowaniu Simple SA Wirtualna Uczelnia
W oprogramowaniu Wirtualna Uczelnia wykryto podatność umożliwiającą zdalne wykonanie kodu przez atakującego (CVE-2025-12140).
Podatność w oprogramowaniu routerów SDMC NE6037
W oprogramowaniu routerów SDMC NE6037 wykryto podatność pozwalającą na wstrzyknięcia komend powłoki (CVE-2025-8890).
Podatności w oprogramowaniu SOPlanning
W oprogramowaniu SOPlanning wykryto 8 podatności różnego typu (od CVE-2025-62293 do CVE-2025-62297 oraz od CVE-2025-62729 do CVE-2025-62731)
Podatność w oprogramowaniu Times Software E-Payroll
W oprogramowaniu Times Software E-Payroll wykryto nieprawidłowe neutralizowanie danych wejściowych skutkujące możliwością wykonania ataku DoS oraz (prawdopodobnie) SQL Injection (CVE-2025-9977).
Podatności w oprogramowaniu Windu CMS
W oprogramowaniu Windu CMS wykryto 8 podatności różnego typu (od CVE-2025-59110 do CVE-2025-59117)
Dane zaktualizowano: 2026-06-24 00:07