Cześć! Z tej strony Tomek Turba. AI bez lukru to cykl moich felietonów o sztucznej inteligencji bez marketingowego lukru, bez korporacyjnych slajdów i bez bajek o “rewolucji, która wszystko zmieni”. Pokazuję AI taką, jaka jest naprawdę: z absurdami, wpadkam...
Podatność zgłosił nam jeden z czytelników, który namierzył problem w systemie obsługującym strefę płatnego parkowania w Szczecinie. O co dokładnie chodziło? W ramach ‘dowodu, że źle zaparkował’ – Marcin otrzymał link do publicznie dostępnego zdjęcia. Przykł...
Jak , pod koniec stycznia br. doszło do poważnego naruszenia bezpieczeństwa w systemie FICOBA, czyli państwowym rejestrze rachunków bankowych prowadzonym przez francuską administrację skarbową.
Platformy społecznościowe są przestrzenią, gdzie nietrudno trafić na dezinformację i propagandę. Ich popularność oraz możliwość szybkiego dotarcia do szerokiego grona odbiorców sprawia, że są aktywnie wykorzystywane do rozpowszechniania fake newsów.
Substack to platforma, na której twórcy mogą tworzyć własne newslettery (także płatne) a użytkownicy – subskrybować i czytać ich treści. Z początkiem lutego użytkownik BreachForums poinformował, że uzyskał dane (prawie 700 tysięcy rekordów) użytkowników pla...
Patronat medialny
Branża kurierska jest jednym z sektorów gospodarki, w którym odpowiednie zarządzanie jest kwestią krytyczną – jak się okazuje, nie tylko w zakresie adresów nadawców oraz odbiorców przesyłek.
i lokalna policja, we współpracy z organami ściągania Łotwy i Litwy, rozbiły zorganizowaną grupę przestępczą, która zajmowała się wyłudzaniem pieniędzy od obywateli Unii Europejskiej.
_Patronat medialny_
Materiał sponsorowany
_Poniższy artykuł to opinia autora i nie zawsze musi odzwierciedlać stanowisko całej redakcji._
Hacker na początek przeanalizował sposób komunikacji robotów z chmurą DJI. Wszystko po to, żeby mógł kontrolować swój odkurzacz kontrolerem do Playstation (bo czemu nie? ;). Ostatecznie eksperyment się udał, ale wcześniej…: Odkrył, że dane dostępowe (wygene...
Patronat medialny
Projektując aplikacje oparte o duże modele językowe (LLM) należy zapoznać się z OWASP TOP 10 for LLM. Jest to bezpośredni odpowiednik OWASP TOP 10 dla aplikacji webowych, zawierający listę najczęściej występujących podatności w aplikacjach korzystających z...
Cześć! Z tej strony Tomek Turba. AI bez lukru to cykl moich felietonów o sztucznej inteligencji bez marketingowego lukru, bez korporacyjnych slajdów i bez bajek o “rewolucji, która wszystko zmieni”. Pokazuję AI taką, jaka jest naprawdę: z absurdami, wpadkam...
Kontrwywiad jako jedna z podstawowych funkcji bezpieczeństwa państwa, przez dziesięciolecia koncentrował się przede wszystkim na ochronie tajemnic państwowych, przeciwdziałaniu infiltracji, identyfikacji agentury obcych państw oraz neutralizacji działań szp...
Zapraszamy do nowego wydania Weekendowej Lektury. Opisy nowych zmagań badaczy z cyberprzestępcami, szczegóły świeżo odkrytych luk, analizy nowych kampanii – każdy znajdzie coś dla siebie. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części...
Oszustwa w mediach społecznościowych stały się elementem codzienności w sieci. Problemem są nie tylko fałszywe filmy wykorzystujące czy lekarzy, o których regularnie informujemy na naszych łamach. Zmorą użytkowników platform stały się także nieprawdziwe art...
19 lutego 2026 r. Federalne Biuro Śledcze (FBI) opublikowało w związku z rosnącą liczbą kradzieży gotówki z bankomatów (jackpotting).
Świąteczno-noworoczne kontrowersje wokół intymnych treści generowanych przez użytkowników za pomocą Groka spowodowały nie tylko chatbota w niektórych krajach na świecie. Najczęściej spotykaną reakcją było wszczęcie postępowania wyjaśniającego w sprawie.
_Autorka: dr Karolina Grenda, doktor nauk prawnych, członek Rady Nowych Technologii i Cyfryzacji przy Prezydencie RP, członek Rady Fundacji SET_
Władze na Kremlu twierdzą, że zagraniczne służby wywiadowcze mogą mieć dostęp do korespondencji prowadzonej przez rosyjskich żołnierzy za pośrednictwem komunikatora Telegram. Sprawa ta stała się jednym z najgłośniejszych wątków dyskusji o bezpieczeństwie cy...
W środę 18 lutego br. francuskie Ministerstwo Gospodarki, Finansów oraz Suwerenności Przemysłowej i Cyfrowej wydało dotyczący naruszenia ochrony danych w podległej mu Dyrekcji Generalnej Finansów Publicznych (DGFiP). Śledztwo wykazało, że nieuprawniona osob...
Na początek garść wspomnień… Zaczynając działalność szkoleniową (czyli więcej niż 10 lat temu), stawialiśmy wyłącznie na napakowane merytoryką i praktycznymi labami szkolenia dla osób technicznych. Wiadomo – trudno byłoby zostawić tę cenną wiedzę z setek, a...
Od wielu lat trwają dyskusje wokół wpływu korzystania z Internetu na najmłodszych. Przez ten czas, oprócz dyskusji pojawiło się również wiele pomysłów dotyczących przepisów, które miałyby pomóc w walce ze szkodliwymi efektami przebywania dzieci w sieci.
Cześć obecni i przyszli „bezpiecznicy”! Konkretna ekipa sekuraka ponownie rusza w Polskę! Sekurak Hacking Party odwiedzi tym razem Wrocław. Zapomnijcie o nudnych pokazach slajdów. SHP to krótkie, intensywne imprezy, podczas których ekipa etycznych hackerów...
Jak Centralne Biuro Zwalczania Cyberprzestępczości (CBZC), handel fałszywą aplikacją trwał przez co najmniej rok. Oferty można było znaleźć na jednym z serwisów internetowych, który jest popularny przede wszystkim wśród młodych użytkowników.
_„Wróg nie porzucił pomysłu sparaliżowania systemów informatycznych sektora publicznego i prywatnego, przeprowadzenia działań sabotażowych i sabotażowych przeciwko infrastrukturze krytycznej, aby skomplikować funkcjonowanie komponentów informatycznych syste...
W świecie nowoczesnych technologii chmurowych, uwierzytelniania wieloskładnikowego i architektury Zero Trust, łatwo zapomnieć o fundamentach, na których wciąż stoi większość firmowych sieci wewnętrznych. Mowa o środowiskach Active Directory i protokołach, k...
Cześć! Z tej strony Tomek Turba. AI bez lukru to cykl moich felietonów o sztucznej inteligencji bez marketingowego lukru, bez korporacyjnych slajdów i bez bajek o “rewolucji, która wszystko zmieni”. Pokazuję AI taką, jaka jest naprawdę: z absurdami, wpadkam...
Nieprawidłowe działanie sztucznej inteligencji potrafi zaskoczyć zarówno użytkowników, jak i deweloperów. Błędy związane z bezpieczeństwem mogą zagrażać danym – tak było chociażby w opisywanym przez nas przypadku Clawdbot, którego bramki i pozwalały na uzys...
Po przyjęciu nowelizacji przez , Sejm, a potem , regulacja trafiła na biurko prezydenta, który zdecydował się ją podpisać. W ten sposób zakończył się 6-letni proces prac nad ustawą.
W grudniu 2026 roku mija termin wprowadzenia przepisów związanych z rozporządzeniem eIDAS 2.0 w krajach członkowskich Unii Europejskiej.
Projekt „KRONIK@ 2.0” jest realizowany przez we współpracy z Instytutem Łączności – Państwowym Instytutem Badawczym.
W środę 18 lutego br. Najwyższa Izba Kontroli (NIK) opublikowała pokontrolny komunikat dotyczący systemu S46. To system teleinformatyczny, który ma jako platforma do rejestracji i klasyfikacji incydentów oraz ułatwianie współpracy między podmiotami krajoweg...
Skala zjawiska jest spora i niesie za sobą realne zagrożenia. Jak Security Magazine, ponad 40 tysięcy kamer bezpieczeństwa było dostępnych publicznie w internecie bez jakiejkolwiek autoryzacji. Najwięcej podatnych urządzeń znajdowało się w Stanach Zjednoczo...
Pod koniec stycznia br. o decyzji, jaką podjął . Mowa o rezygnacji z , oraz w sektorze publicznym. Popularne rozwiązania do wideokonferencji mają zniknąć z administracji do końca 2027 r.
Co jeśli nasze profile w mediach społecznościowych mogłyby żyć dalej bez nas? Meta Platforms otrzymała patent na technologię zdolną do imitowania zachowania użytkownika nawet po jego śmierci. Wizja rodem z Black Mirror przestaje być wyłącznie fikcją, a zacz...
Wykorzystanie sztucznej inteligencji przez siły zbrojne nie jest nowością. Prace nad nowymi technologiami oraz związanymi z nimi zdolnościami toczą się od wielu lat. Na łamach naszego portalu informowaliśmy do tej pory o przez ukraińskie wojsko we współprac...
W II połowie stycznia br. informowaliśmy na naszych łamach o decyzji Ministerstwa Cyfryzacji dotyczącej na obsługę medialną kampanii edukacyjnej o rozwoju kompetencji cyfrowych. Zapisy przewidywały, że w ciągu 20 dni roboczych od zawarcia umowy zwycięzca m....
10 lutego br. Gmina Obrazów o udanym ataku ransomware na infrastrukturę tamtejszego urzędu.
Podatność ( o maksymalnej ocenie w rozwiązaniu Dell RecoverPoint for Virtual Machines umożliwiała nieautoryzowane przejęcie kontroli nad systemem odpowiedzialnym za replikację i odzyskiwanie danych w środowiskach wirtualnych.
Chińskie samochody nie wjadą na tereny wojskowe – taką decyzję podjął szef Sztabu Generalnego Wojska Polskiego generał Wiesław Kukuła. Zakaz to efekt analizy ryzyka dotyczącej możliwości zbierania i przesyłania danych przez pojazdy z Państwa Środka. Podobne...
_Artykuł sponsorowany_
Dane biometryczne stanowią szczególną kategorię informacji, pozwalających na jednoznaczną identyfikację osób. Obejmują cechy fizyczne i behawioralne, takie jak geometria twarzy, odcisk palca, tęczówka oka czy głos.
Materiał sponsorowany
Koniec 2025 roku w mediach społecznościowych zdominowały kolejne kontrowersje wokół treści, jakie zaczęły pojawiać się na platformie X (dawnym Twitterze).
We wtorek na Lotnisku Chopina w Warszawie spotkali się przedstawiciele Polskich Portów Lotniczych oraz Związku Regionalnych Portów Lotniczych. W obecności Prezesa Urzędu Ochrony Danych Osobowych Mirosława Wróblewskiego oraz wiceministra infrastruktury Macie...
Watykan idzie z duchem czasu i zaczyna wykorzystywać nowoczesną technologię, aby umożliwić każdemu wiernemu pełne uczestnictwo w liturgii, niezależnie od języka, którym się posługuje. Dzięki inteligentnym tłumaczeniom w czasie rzeczywistym wierni będą mogli...
Patronat medialny
We wtorek 17 lutego br. w siedzibie doszło do podpisania porozumienia GIS i . Współpraca obu instytucji będzie skupiona na przeciwdziałaniu dezinformacji medycznej, w tym przede wszystkim fałszywym treściom dotyczącym zdrowia i medycyny.
_”Zidentyfikowano atak hakerski na część infrastruktury IT Uniwersytetu Warszawskiego. Złośliwe oprogramowanie zostało zidentyfikowane na jednej ze stacji roboczych uczelni”_ - czytamy w ministra cyfryzacji Krzysztofa Gawkowskiego na X.
Małopolscy funkcjonariusze (CBZC) zatrzymali 47-latka, który ma odpowiadać za produkcję, pozyskiwanie i udostępnianie narzędzi hakerskich, przeznaczonych do uzyskiwania informacji z systemów informatycznych.
Pomogliśmy dużej organizacji w analizie infekcji malware spowodowanej przez Fake CAPTCHA. W tym raporcie podsumowujemy nasze obserwacje oraz publikujemy szczegółową analizę znalezionego złośliwego oprogramowania.
13 lutego br. Organizacja Narodów Zjednoczonych zatwierdziła członków Niezależnego Międzynarodowego Panelu Naukowego ds. Sztucznej Inteligencji (NISI), który został ustanowiony rezolucją z 26 sierpnia 2025 r. Oznacza to przejście od formalnych ram prawnych...
Materiał sponsorowany
W lutym br. użytkownicy z obszaru Unii Europejskiej, w tym Polski, zostali zalani falą wiadomości informujących o aktualizacjach polityk prywatności. To efekt nałożenia się kilku istotnych procesów regulacyjnych i nadzorczych, które w jednym momencie wymusi...
_„Otrzymano informację, że w okresie od 27 marca 2015 r. do 19 października 2020 r. funkcjonariusz SG przekroczył uprawnienia do przetwarzania danych osobowych w ramach zadań służbowych i uzyskał dostęp do danych osób fizycznych z bazy PESEL oraz Zintegrowa...
W wykorzystaniu do przyspieszenia naszych działań nie ma nic złego. Przy badaniu technologia sztucznej inteligencji może szybciej wykrywać potencjalne błędy lub nieścisłości, znacznie skracając czas pracy człowieka, co w teorii ma zwiększać efektywność prac...
Patronat medialny
CBZC o rozbiciu zorganizowanej grupy przestępczej, która stoi za na znanej platformie ogłoszeniowej. Do zatrzymania jej członków doszło na początku lutego br.
Materiał sponsorowany
Zapraszamy do nowego wydania Weekendowej Lektury. Lepiej późno niż wcale, przybywamy więc do Was ze świeżą porcją informacji o atakach, wyciekach, podatnościach i szkodnikach, które zaobserwowali ostatnio eksperci. Miłego klikania! W dzisiejszym wydaniu szc...
Ponad pół miliona podatności udało się znaleźć dzięki udostępnieniu serwisu moje.cert.pl. To darmowe narzędzie, z którego korzysta już niemal 16 tysięcy użytkowników. To też ponad 19 tysięcy stron, które należą do instytucji, firm i osób prywatnych, których...
Zapraszamy do nowego wydania Weekendowej Lektury. Tym razem także nie zabrakło materiału do analizy – poniżej znajdziecie kilkadziesiąt linków, które mogą zapewnić Wam zajęcie na resztę weekendu. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w...
W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2026-23796 i CVE-2026-23797)
Twój pociąg odjeżdża o 21:36. A nie, o 22:35. Nie, nie, jednak o 20:36. Każde odświeżenie strony daje nowy wynik, a żaden z nich nie jest prawidłowy. Koszmarny sen? Nie, tak naprawdę działa (czasem i dla niektórych klientów) oficjalny rozkład jazdy PKP onli...
W aplikacji mObywatel na system iOS wykryto podatność sktutkującą ujawnieniem danych osobowych nieuwierzytelnionemu atakującemu (CVE-2025-11598).
Jak zabezpieczam swoje (nie tylko cyfrowe) życie? Z jakich technologii korzystam, a jakie omijam? Komu powierzam swoje dane? Jak dbam o swoją prywatność? Już 10 lutego opowiem o wszystkim, jak na spowiedzi :) Dołączyć (także za darmo, ale tylko do startu we...
W oprogramowaniu EAP Legislator wykryto podatność pozwalającą na rozpakowanie archiwum plików poza katalogiem docelowym (CVE-2026-1186).
Zapraszamy do nowego wydania Weekendowej Lektury. Linków jest dużo, a czasu mało, materiały są jak zwykle całkiem ciekawe, nie będziemy zatem tracić czasu na wprowadzenie, tylko bierzcie się od razu do czytania. Miłego klikania! W dzisiejszym wydaniu szczeg...
29 grudnia 2025 miały miejsce niespotykane do tej pory w Polsce skoordynowane ataki na infrastrukturę energetyczną. Zespół CERT Polska opublikował właśnie bardzo szczegółowy raport (także w wersji angielskiej, podeślijcie kolegom i koleżankom z innych krajó...
Zespół CERT Polska przedstawia raport z analizy incydentu w sektorze energii, do którego doszło 29 grudnia 2025 roku. Ataki miały charakter destrukcyjny i były wymierzone w farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz przedsiębiorstwo z sekt...
W oprogramowaniu routera LV-WR21Q wykryto 2 podatności różnego typu (CVE-2025-12386 oraz CVE-2025-12387)
Zapraszamy do nowego wydania Weekendowej Lektury, w którym pokazujemy, co nowego, ważnego i ciekawego wydarzyło się w minionym tygodniu w dziedzinach bezpieczeństwa i prywatności. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularn...
W aplikacji Inkscape na system MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-15523).
W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2025-67683 oraz CVE-2025-67684)
Zapraszamy do nowego wydania Weekendowej Lektury. Staraliśmy się, aby zebrane przez nas linki były ciekawe i różnorodne oraz dotyczyły spraw istotnych. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej podsumowanie CBZC dotyczą...
W aplikacji mobilnej Crazy Bubble Tea wykryto możliwość uzyskania danych osobowych innych użytkowników (CVE-2025-14317).
W oprogramowaniu Ysoft SafeQ 6 wykryto podatność polegająca na nieskutecznym maskowaniu hasła (CVE-2025-13175).
Zapraszamy do kolejnego wydania Weekendowej Lektury. Mamy już nowy rok, a wyścig między nienasyconymi przestępcami i niestrudzonymi badaczami ciągle trwa, przed Wami więc nowa porcja materiałów pokazujących aktualny krajobraz zagrożeń. Miłego klikania! W dz...
W oprogramowaniu kamery Vivotek IP7137 wykryto 4 podatności różnego typu (od CVE-2025-66049 do CVE-2025-66052)
W oprogramowaniu routerów KAON CG3000T oraz CG3000TC wykryto zaszyte poświadczenia umożliwiające zdalne przejęcie urządzenia (CVE-2025-7072).
Możliwość nieautoryzowanego dostępu do dokumentacji medycznej została wykryta w oprogramowaniu Asseco AMDX (CVE-2025-4596).
W oprogramowaniu Asseco InfoMedica Plus wykryto 2 podatności różnego typu (CVE-2025-8306 oraz CVE-2025-8307).
W oprogramowaniu Kieback&Peter Neutrino-GLT wykryto podatność umożliwiająca wstrzyknięcie komend (CVE-2025-6225).
W oprogramowaniu routera WODESYS WD-R608U wykryto 5 podatności różnego typu (od CVE-2025-65007 do CVE-2025-65011)
W oprogramowaniu urządzeń Govee z łącznością sieciową wykryto podatność umożliwiającą przejęcie sterowania nad cudzymi urządzeniami (CVE-2025-10910).
W oprogramowaniu WaveStore Server wykryto 3 podatności typu Path Traversal (od CVE-2025-65074 do CVE-2025-65076)
Jak to jest z tym publicznym Wi-Fi? W internecie wciąż możecie trafić na informacje, że korzystanie z takiej otwartej sieci w kawiarni, hotelu lub na lotnisku, to proszenie się o kłopoty, bo hakerzy mogą w ten sposób wykraść hasła i dane. I owszem tak BYŁO....
W oprogramowaniu OpenSolution QuickCMSwykryto podatność typu SQL Injection (CVE-2025-12465).
W oprogramowaniu Wirtualna Uczelnia wykryto podatność umożliwiającą zdalne wykonanie kodu przez atakującego (CVE-2025-12140).
W oprogramowaniu routerów SDMC NE6037 wykryto podatność pozwalającą na wstrzyknięcia komend powłoki (CVE-2025-8890).
W oprogramowaniu SOPlanning wykryto 8 podatności różnego typu (od CVE-2025-62293 do CVE-2025-62297 oraz od CVE-2025-62729 do CVE-2025-62731)
W oprogramowaniu Times Software E-Payroll wykryto nieprawidłowe neutralizowanie danych wejściowych skutkujące możliwością wykonania ataku DoS oraz (prawdopodobnie) SQL Injection (CVE-2025-9977).
W oprogramowaniu Windu CMS wykryto 8 podatności różnego typu (od CVE-2025-59110 do CVE-2025-59117)
W oprogramowaniu OpenSolution QuickCMS wykryto 2 podatności różnego typu (CVE-2025-9982 oraz CVE-2025-10018)
W ostatnich miesiącach CERT Polska zaobserwowało nowe próbki złośliwego oprogramowania mobilnego związane z atakiem NFC Relay (NGate) wymierzonym w użytkowników polskich banków.
W oprogramowaniu Eveo URVE Smart Office wykryto podatność typu Cross-site Scripting (CVE-2025-10348).
W oprogramowaniu OpenSolution Quick.Cart wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2025-10317).
W oprogramowaniu mMedica firmy Asseco Poland S.A. wykryto podatność typu Authentication Bypass Using an Alternate Path or Channel i nadano jej identyfikator CVE-2025-9313.
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu 'SQL Injection' (CVE-2025-8536).
W oprogramowaniu Request Tracker firmy Best Practical wykryto podatność typu XSS i nadano jej identyfikator CVE-2025-9158.
W oprogramowaniu Vilar VS-IPC1002 wykryto 2 podatności różnego typu (CVE-2025-53701 oraz CVE-2025-53702)
W oprogramowaniu OpenSolution QuickCMS wykryto 2 podatności typu Cross-site Scripting (od CVE-2025-9980 do CVE-2025-9981)
W oprogramowaniu SIMPLE.ERP wykryto podatność typu SQL Injection i nadano jej identyfikator CVE-2025-9339.
W oprogramowaniu NetBird VPN wykryto podatność typu Use of Default Credentials (CVE-2025-10678).
W oprogramowaniu Strapi wykryto podatność typu Insufficient Session Expiration (CVE-2025-3930).
Opublikowaliśmy właśnie pierwszy raport miesięczny, podsumowujący nasze działania i obserwacje za wrzesień 2025. To początek nowej formuły komunikacji – chcemy regularnie informować o najważniejszych incydentach, trendach i aktywnościach zespołu.
W oprogramowaniu PAD CMS wykryto 9 podatności różnego typu (CVE-2025-7063, CVE-2025-7065 oraz od CVE-2025-8116 do CVE-2025-8122)
W oprogramowaniu CivetWeb wykryto podatność typu Improper Neutralization of NUL Character (CVE-2025-9648).
W oprogramowaniu GALAYOU G2 wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-9983).
Współczesne ataki phishingowe wykorzystują dokładne kopie wizualne znanych serwisów, co uniemożliwia rozpoznanie oszustwa na podstawie wyglądu strony. Przedstawiamy metodę analizy adresów URL jako jedyną niezawodną technikę weryfikacji autentyczności witryn...
W oprogramowaniu Sparkle wykryto 2 podatności typu Incorrect Authorization (CVE-2025-10015 i CVE-2025-10016)
W oprogramowaniu urządzeń SMSEagle wykryto podatność typu SQL Injection (CVE-2025-10095).
W oprogramowaniu ITCube CRM wykryto podatność typu Path Traversal (CVE-2025-5993).
W oprogramowaniu GOV CMS wykryto podatność typu SQL Injection (CVE-2025-7385).
W oprogramowaniu Payload CMS wykryto 2 podatności różnego typu (CVE-2025-4643 oraz CVE-2025-4644)
W oprogramowaniu OpenSolution QuickCMS wykryto 6 podatności różnego typu (od CVE-2025-54540 do CVE-2025-55175)
W oprogramowaniu CGM CLININET wykryto 17 podatności różnego typu (pomiędzy CVE-2025-2313 a CVE-2025-30064)
W oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext wykryto 3 podatności różnego typu (CVE-2025-54172, CVE-2025-54174 oraz CVE-2025-54175).
W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).
W oprogramowaniu GIMP (CVE-2025-8672), Mosh-Pro (CVE-2025-53811), Cursor (CVE-2025-9190), MacVim (CVE-2025-8597), Nozbe (CVE-2025-53813) oraz Invoice Ninja (CVE-2025-8700) na systemy MacOS wykryto podatności umożliwiające atak typu TCC Bypass.
Oddajemy w Państwa ręce dokument, którego podstawowym celem jest wsparcie w procesie ustanawiania CSIRT-ów oraz rozwijania ich zdolności operacyjnych. Chcemy, żeby proces tworzenia zespołów cyberbezpieczeństwa przebiegał w sposób uporządkowany, a same zespo...
W oprogramowaniu Flexibits Fantastical wykryto podatność typu Incorrect Authorization (CVE-2025-8533).
W oprogramowaniu TSplus Remote Access wykryto podatność umożliwiającą poznanie hasha PINu zabezpieczającego aplikację przed uruchomieniem (CVE-2025-5922).
W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).
W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu "Improper Export of Android Application Components" (od CVE-2025-5344 do CVE-2025-5346).
W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).
W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).
CERT Polska obserwuje złośliwą kampanię e-mail prowadzoną przez grupę UNC1151 przeciwko polskim podmiotom z wykorzystaniem podatności w oprogramowaniu Roundcube.
W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).
W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).
W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)
W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).
W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).
W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).
Na początku roku uruchomiliśmy serwis moje.cert.pl, podnoszący i rozwijający cyberbezpieczeństwo dzięki szeregowi usług i narzędzi. Od startu w serwisie zarejestrowało się ponad 11 tysięcy użytkowników. To dla nich włączamy dziś nową funkcję – komunikaty o...
W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).
W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).
W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).
W oprogramowaniu Symfonia Ready_ wykryto 4 podatności różnego typu (od CVE-2025-1980 do CVE-2025-1983).
W module Internet Starter oprogramowania SoftCOM iKSORIS wykryto 11 podatności różnego typu.
Za nami kolejny rok działania zespołu CERT Polska. Rok absolutnie rekordowy, jeśli weźmiemy pod uwagę praktycznie wszystkie statystyki przytaczane w naszych dotychczasowych raportach. Za tymi liczbami stoi codzienna praca ekspertów, którzy każdego dnia dbaj...
Krajobraz zagrożeń występujących w polskiej cyberprzestrzeni ulega ewolucji. Z jednej strony obserwujemy dobrze znane z ostatnich lat kampanie phishingowe, których celem jest wyłudzenie loginów i haseł do popularnych usług e-mail lub serwisów społecznościow...
Problem oszustów działających za pośrednictwem platform społecznościowych jest wciąż aktualny. Firma Meta nie zrealizowała wszystkich przedstawionych w ubiegłym roku przez ekspertów z działającego w NASK zespołu CERT Polska postulatów, które miały zwiększyć...
W oprogramowaniu Streamsoft Prestiż wykryto 2 podatności różnego typu (CVE-2024-11504 oraz CVE-2024-7407).
W aplikacji Fast CAD Reader (Beijing Honghu Yuntu Technology) wykryto podatność CVE-2025-2098 typu Incorrect Privilege Assignment.
W oprogramowaniu OXARI ServiceDesk firmy Infonet Projekt SA wykryto podatność typu Incorrect Authorization (CVE-2025-1542).
W popularnym kontrolerze Ingress-Nginx w wersjach do 1.12.0 i 1.11.4 włącznie znaleziono krytyczne podatności umożliwiające zdalne wykonanie kodu bez konieczności uwierzytelnienia. Ingress-Nginx Ingress-Nginx jest domyślnym kontrolerem zarządzania ruchem si...
W oprogramowaniu SIMPLE.ERP wykryto 2 podatności różnego typu (CVE-2024-8773 oraz CVE-2024-8774).
W oprogramowaniu BotSense NASK-PIB wykryto podatność typu Improper Neutralization of Value Delimiters (CVE-2025-1774).
W oprogramowaniu MLJAR PlotAI wykryto podatność typu Command Injection (CVE-2025-1497).
W oprogramowaniu kamer Smartwares CIP-37210AT oraz C724IP wykryto 3 podatności różnego typu (od CVE-2024-13892 do CVE-2024-13894).
W oprogramowaniu CyberArk Endpoint Privilege Manager wykryto 5 podatności różnego typu (od CVE-2025-22270 do CVE-2025-22274).
W aplikacji DaVinci Resolve wykryto podatność CVE-2025-1413 typu Incorrect Privilege Assignment.
W oprogramowaniu Wyn Enterprise wykryto podatność CVE-2024-9150 pozwalającą uwierzytelnionemu użytkownikowi na eskalację uprawnień.
W oprogramowaniu DocsGPT wykryto podatność CVE-2025-0868 typu Command Injection.
Nowy rok przynosi kolejne rozwiązania podnoszące bezpieczeństwo internetu i jego użytkowników. Prezentujemy dziś serwis, w ramach którego każdy - zarówno osoba prywatna, jak i mała firma czy duża instytucja publiczna, może budować i rozwijać swoje cyberbezp...
W oprogramowaniu authentik wykryto podatność CVE-2024-11623 typu Stored XSS (Cross-site Scripting).
W oprogramowaniu Eura7 CMSmanager wykryto podatność CVE-2024-11348 typu XSS (Cross-site Scripting).
Ponad rok temu zaczęliśmy publikować listy domen w nowym formacie. Z dniem 1 czerwca 2025 r. zostanie wycofana pierwsza wersja Listy Ostrzeżeń przed niebezpiecznymi stronami.
W oprogramowaniu Kentico CMS wykryto podatność CVE-2024-12907 typu XSS (Cross-site Scripting).
W oprogramowaniu CTFd wykryto 2 podatności (CVE-2024-11716 oraz CVE-2024-11717).
W aplikacji com.rlk.weathers Infinix Mobile wykryto podatność CVE-2024-12993 umożliwiającą ujawnienie lokalizacji użytkownika.
W oprogramowaniu DirectAdmin Evolution Skin wykryto podatność CVE-2024-10385 typu XSS (Cross-site Scripting).
W aplikacji mobilnej Govee Home na systemy Android i iOS wykryto podatność typu Incorrect Authorization (CVE-2023-4617).
W oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions wykryto 2 podatności (CVE-2024-4995 i CVE-2024-4996).
W oprogramowaniu Tungsten Automation (Kofax) TotalAgility wykryto 2 podatności typu XSS (CVE-2024-7874 oraz CVE-2024-7875).