CISA ostrzega przed podatnością React2Shell
Opisywana podatność to RCE o maksymalnym CVSS 10.0, który pozwala na zdalne wykonanie kodu po wysłaniu jednego odpowiednio spreparowanego żądania HTTP.
Burza o karę dla X. Musk krytykuje Komisję Europejską
W piątek 5 grudnia br. Komisja Europejska po dwuletnim postępowaniu stwierdziła, że platforma X (dawny Twitter) naruszyła zapisy Aktu o usługach cyfrowych (DSA). Jak , zarzuty unijnego organu dotyczyły transparentności repozytorium reklam, zwodniczości znac...
Nieuprawniony dostęp do serwera z odczytami wodomierzy w polskiej gminie
Urząd Gminy Głusk oraz GZK Głusk o naruszeniu dostępności i poufności danych osobowych, które miało miejsce 29 listopada br. Zdarzenie polegało na _„utracie dostępu do danych na serwerze służącym do rozliczania ilości zużytej wody i odprowadzonych ścieków”_.
Kampania phishingowa uderza w amerykańskie uczelnie
Jak , w kampanii posłużono się narzędziem *Evilginx*, popularnym wśród grup cyberprzestępczych ze względu na możliwość przeprowadzania ataków typu Adversary-in-the-Middle (AiTM). Tego rodzaju technika polega na umieszczeniu złośliwego serwera pomiędzy użytk...
Nie działają systemy medyczne w Białostockim Centrum Onkologicznym
W Białostockie wskazuje, że w związku z awarią poradnie „prowadzą działalność w ograniczonym zakresie, z zachowaniem kluczowych świadczeń”. Z kolei decyzje o przyjęciach „_podejmowane są indywidualnie przez lekarzy prowadzących, zgodnie z oceną stanu zdrowi...
Oszustwa przy sprzedaży węgla i ekogroszku. Sprawca podszył się pod Polską Grupę Górniczą
Bydgoski Zarząd prowadzi postępowanie w sprawie wyłudzeń związanych ze sprzedażą ekogroszku i węgla. Funkcjonariuszom udało się ustalić tożsamość mężczyzny, który jest podejrzany o oszustwa.
FSB: ukraińskie służby werbują przez internet
Rosyjska (FSB) wydała komunikat, w którym zwraca uwagę obywateli na działania ukraińskiego wywiadu polegające na aktywnym potencjalnych dywersantów. Wskazano tu przede wszystkim na media społecznościowe i popularne komunikatory, jak i , za pomocą których sł...
Dzieci w pułapce Internetu. Jak możemy je chronić?
Materiał sponsorowany
SOC-as-a-Service. Czy outsourcing cyberbezpieczeństwa się opłaca?
Materiał sponsorowany
HashJack, czyli nowy wektor ataku na przeglądarki AI
HashJack to odkryta przez badaczy z Cato CTRL technika wstrzykiwania promptów (indirect prompt injection), która ukrywa złośliwe instrukcje po znaku # w adresach URL. Gdy przeglądarki AI przesyłają pełny link (wraz ze złośliwym fragmentem) do swoich asysten...
Kolejne złośliwe VPN-y w Chrome – jak wtyczki wykorzystują przyznane uprawnienia
Nie tak dawno, bo pod koniec sierpnia pisaliśmy o pozornie nieszkodliwej wtyczce VPN do Chrome, która – jak się okazało – potajemnie rejestrowała zawartość ekranu. Niestety nie był to zupełnie odosobniony przypadek. Badacze z LayerX odkryli kampanię złośliw...
Pilna aktualizacja dla przeglądarki Google Chrome. Załatano 13 podatności, w tym 4 z kategorii High
2 grudnia Google wydało 13 poprawek bezpieczeństwa do swojej przeglądarki Chrome, z czego cztery z nich zostały sklasyfikowane jako wysokiego ryzyka (High). W komunikacie została opublikowana pełna lista podatności. Poniżej przedstawiamy te z kategorii High...
Jeden z największych portali miksowania kryptowalut odchodzi do historii. Europol zabezpieczył domenę Cryptomixer.io
Europol poinformował o przeprowadzeniu skoordynowanej operacji, w wyniku której przejęto jeden z największych serwisów do miksowania kryptowalut – Cryptomixer. Działania zostały przeprowadzone pod koniec listopada 2025 r., we współpracy z europejskimi organ...
Weekendowa Lektura: odcinek 653 [2025-12-07]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Za nami kolejny tydzień, w którym nie dość, że odbyła się konferencja Oh My Hack 2025, to jeszcze nie brakowało doniesień o świeżo zaobserwowanych atakach, nowo odkrytych lukach i innych incydentach. Miłego...
Czym jest debugowanie?
Debugowanie to jeden z istotnych elementów programowania, mający na celu wykrywanie i naprawę występujących w oprogramowaniu błędów. Sprawdź, na czym polega ten proces, jakie etapy obejmuje i dlaczego ma tak duże znaczenie. Debugowanie – podstawowe informac...
#CyberMagazyn: Gaming – lekceważony obszar operacji informacyjnych
W dzisiejszym zglobalizowanym, cyfrowym świecie granica między rozrywką a rzeczywistością coraz bardziej się zaciera. Gry komputerowe są nie tylko źródłem zabawy, ale też jednym z najpotężniejszych narzędzi kształtowania świadomości społecznej XXI wieku. Ty...
asystent.ai – publicznie dostępne API (użytkownicy / hashowane hasła / konwersacje z AI / pliki / …). Możliwe było pobranie danych zwykłą przeglądarką.
TLDR: Dostępne bez żadnego logowania API aplikacji asystent ai / Minerva. Listowanie użytkowników, szczegóły użytkowników (w tym hashe haseł), pliki wysyłane przez użytkowników, konwersacje z AI. Aby zobaczyć te dane, wystarczyła zwykła przeglądarka. Przykł...
Cloudflare chciało ochronić swoich klientów przed krytyczną podatnością w React, ale przypadkiem na 25 minut zabiło znaczną część swojej infrastruktury
No więc cloudflare próbował zabezpieczyć internet przed atakami na krytyczną podatność w popularnym React (CVE-2025-55182). W wyniku tego dotknięte zostało ~28% globalnego ruchu HTTP chronionego przez Cloudflare. Innymi słowy dużo chronionych przez Cloudfla...
Wielka kara dla platformy Muska. KE: doszło do naruszenia DSA
W grudniu 2023 świat obiegła wieść o wszczęciu postępowania przez Komisję Europejską w sprawie naruszenia przez X (dawny Twitter) Aktu o usługach cyfrowych. Jak na łamach naszego serwisu, unijny organ chciał zbadać kwestie dotyczące m.in. wprowadzających w...
Nielegalny werbunek w Polsce. Ukraińcy zachęcani do sabotażu
Nie od dziś wiadomo, że Telegram jest wygodną formą komunikacji, m.in. ze względu na szyfrowanie wiadomości end-to-end oraz zachowanie większej anonimowości, która sprzyja działalności o nielegalnym charakterze. Aplikacja jest szczególnie popularna w Ukrain...
Sejm nie uchwalił ponownie ustawy o kryptowalutach
Jednym z tematów, który w ostatnim czasie zyskał rozgłos jest projekt ustawy o rynku kryptoaktywów. Jak Ministerstwo Finansów, regulacja dostosowuje polskie prawo do unijnych przepisów, a konkretnie rozporządzenia MiCA.
Wielkie ćwiczenia NATO. Ważne wnioski dla cyberwojsk
W pierwszym tygodniu grudnia odbyły się coroczne ćwiczenia NATO Cyber Coalition. Miały one na celu zwiększanie poziomu cyberobrony wśród członków Sojuszu Północnoatlantyckiego oraz możliwości odstraszania potencjalnych wrogów wydarzenie. , były to największ...
Szybkie pieniądze za założenie konta? Płacisz o wiele wyższą cenę
Tego typu oferty przyciągają osoby szukające prostego zarobku, obiecując szybkie pieniądze bez większego wysiłku. Na pierwszy rzut oka wszystko wygląda legalnie: zakładasz konto w , wykonujesz kilka prostych czynności i otrzymujesz wynagrodzenie. Niestety,...
Awaria Cloudflare – padło wiele serwisów
W piątek 5 grudnia br. pojawiły się problemy z funkcjonowaniem wielu stron internetowych. Nie działają globalne serwisy, jak np. Canva oraz LinkedIn. Również Downdetector, przeznaczony do sprawdzania problemów i awarii usług, jest niedostępny.
Kolejna globalna awaria Cloudflare. Nie działa downdetector, nie działa LinkedIn, nie działa dużo polskich sklepów on-line
Cloudflare poinformował właśnie o problemie ~nieznanego pochodzenia: Update 2: więcej informacji o całym incydencie publikujemy tutaj. Update 1: po 15 minutach pojawiła się informacja o zlokalizowaniu / naprawieniu problemu przez Cloudflare: Monitoring – A...
Absurdalna dziura w AI-owym narzędziu dla prawników (Filevine). W prosty sposób można było pobrać bez uwierzytelnienia ~100000 projektów/dokumentów
Chodzi o appkę Filevine – “AI Legal Assistant”. Badacz bezpieczeństwa (aka hacker) popatrzył trochę w źródła javascript na pewnej domenie Filevine, znalazł tam pewien endpoint API. Endpoint dostępny był bez uwierzytelnienia i umożliwiał wyszukiwanie dowolny...
Konferencja Oh My Hack 2025. Dawka unikalnej wiedzy
*Patronat medialny*
Podziwiaj dzieła sztuki bez wychodzenia z domu
Materiał sponsorowany
Nowelizacja KSC w Sejmie. Poznaliśmy stanowiska partii
21 października br. projekt nowelizacji ustawy o (KSC). Sprawa odbiła się szerokim echem ze względu na długość trwającego procesu legislacyjnego. Mówimy o przepisach, nad którymi prace trwają od 7 lat.
WhatsApp pod lupą KE. Przyczyną sztuczna inteligencja
Rozwój sztucznej inteligencji spowodował pojawienie się stosownych usług również w komunikatorach. Jednym z nich jest należący do Mety ; jego właściciel ogłosił w październiku, że wprowadza zmiany w zakresie zasad dotyczących dostawców AI udostępniających s...
Roblox znika z rosyjskiego internetu
Roblox to popularna wśród dzieci i nastolatków platforma, w której użytkownicy mogą tworzyć światy, postacie i własne rozgrywki. Jest darmowa i dostępna na komputerach, telefonach i konsolach. Średnio skupia ponad .
Zakaz social mediów dla dzieci w Australii. Są pierwsze blokady
Pod koniec listopada 2024 roku australijski parlament przyjął ustawę zakazującą osobom poniżej 16 roku życia korzystania z mediów społecznościowych. Jak na łamach naszego serwisu, przepisy zostały przyjęte dzięki przekonaniu opozycji do zaakceptowania zmian...
Revolut wzmacnia ochronę środków. Pojawiła się nowa funkcja
Jak bank, nowa funkcja nazwana „trybem ulicznym” polega na wprowadzeniu limitu przelewów. Dzięki wykorzystaniu danych o lokalizacji urządzenia, system ocenia, czy próba wypłaty pieniędzy jest zgodna z wybranymi ustawieniami.
Ukraiński MON uruchomił cyfrowy „Budżet”
poinformowało o oficjalnym uruchomieniu systemu „Budżet” w . Odbyło się to na podstawie Zarządzenia nr 811, które właśnie zostało zatwierdzone.
Ukraińcy zakłócili system poboru do rosyjskiego wojska
Atesh to ukraiński ruch partyzancki, którego odłam „_cyber-atesh_” miał skutecznie zaatakować rosyjski system poboru do wojska. Działania w cyberprzestrzeni skutkowały wyłączeniem usługi wysyłki powiadomień o elektronicznych wezwaniach do służby.
Krytyczna podatność unauth remote code execution w React Server Components. 10/10 w skali CVSS. CVE-2025-55182
Podatny jest komponent React Server Components (czyli część serwerowa frameworku frontendowego ;). Jeśli nie masz tego zainstalowanego – nie jesteś podatny. Jeśli masz zainstalowane React Server Components (nawet jak Twoja appka z tego nie korzysta) – to ca...
Chińskie samochody w Polsce. ABW i SKW monitorują ryzyko
Chińscy producenci samochodów ruszyli na podbój europejskiego rynku. Widzimy to na przykładzie Polski, gdzie coraz więcej pojazdów z Państwa Środka przemieszcza się po naszych ulicach. Trwa ofensywa marketingowa: niemal na każdym kroku możemy natknąć się na...
UE szykuje nowe sankcje. Na liście oficerowie rosyjskiego GRU
Jak The Insider, powołując się na (projekt śledczy redakcji Nastojaszczeje Wriemia i Radia Swoboda), w projektach nowych restrykcji UE znalazły się nazwiska trzech oficerów GRU z jednostki 29155, którzy mieli brać udział w cyberatakach prowadzonych przez gr...
Wielka akcja CBZC wymierzona w przestępstwa o charakterze pedofilskim
Jak podaje , akcję przeprowadzono w 19 listopada br., czyli w Międzynarodowym Dniu Zapobiegania Przemocy wobec Dzieci.
Inwestycje w mObywatelu 3.0? To oszustwo
Wśród fałszywych materiałów reklamujących szybki zarobek bardzo często można znaleźć te, które wykorzystują wizerunek celebrytów. W zeszłym roku na naszych łamach nagłośniliśmy przypadek z Rafałem Brzoską, który proces przeciwko Mecie. Coraz częściej jednak...
Kto wygra wojnę? Mapa ukraińskiego frontu wykorzystana przez bukmachera
Polyglobe jest narzędziem powiązanym z Polymarket, dostarczającym klientom informacji ze świata, które mogą pomóc w obstawianiu różnych zakładów. Na wirtualnej kuli ziemskiej pokazują się dostępne zakłady oraz ważne wiadomości powiązane z zakładem.
Masz służbowego Pixela? Pracodawca może śledzić twoje wiadomości
Nowa funkcjonalność jest dedykowana dla telefonów Google Pixel. Mowa o Android RCS Archival, czyli narzędziu do archiwizacji wiadomości RCS, które z założenia ma pomóc organizacjom w spełnieniu wymagań prawnych dotyczących prowadzonej dokumentacji i komunik...
Koniec wolności w sieci? Indie uderzają w użytkowników
Kluczowym elementem nowych przepisów jest tzw. SIM binding, czyli obowiązek posiadania aktywnej karty SIM w urządzeniu, z którym powiązano konto komunikatora. Jeśli użytkownik usunie kartę , zmieni numer albo przełoży ją do innego telefonu, aplikacja przest...
Współpraca na rzecz 6G. Porozumienie Samsung i SK Telecom
Materiał sponsorowany
Rosja ogranicza działanie WhatsAppa. W tle oskarżenia o wyciek rozmów
Próby ograniczenia możliwości komunikacji w sieci są podejmowane przez rosyjskie władze od lat. Jak opisywaliśmy na łamach naszego serwisu, w sierpniu o poważnych zakłóceniach w funkcjonowaniu szyfrowanych komunikatorów Telegram i WhatsApp na terenie kraju....
Operacje rosyjskiego GRU. Jednostka 54777 do podboju umysłów
Według , Jednostka 54777 GRU stanowi zasadniczy komponent rosyjskiej doktryny _informacionnaja wojna_ – wojny informacyjnej, rozumianej znacznie szerzej niż w standardowych ujęciach zachodnich. Obejmuje nie tylko klasyczną propagandę czy dezinformację, ale...
Słupy, nielegalne transakcje i pranie pieniędzy. Bank Pekao S.A. zdradza metody przestępców
Materiał sponsorowany
„Wojna informacyjna” wokół nowelizacji ustawy o KSC
Od 7 lat trwają prace nad wprowadzeniem zmian do ustawy o krajowym systemie cyberbezpieczeństwa (KSC). Nowelizacja ma m.in. wdrożyć zapisy unijnej dyrektywy NIS 2, na co termin minął w październiku 2024 roku.
Wielka Brytania bierze pod lupę popularne gry mobilne
Dzieci, spędzając godziny z technologią, stają się w niej niezwykle biegłe. Sprawnie i bez problemów poruszają się po sieci, oglądając różne treści i pobierając aplikacje. Zdarza się, że szybko przeskakują wszystkie komunikaty, które pojawiają się przed prz...
Nowa fala oszustw. Uwaga na fałszywe legitymacje pracowników banków
Według najnowszych ostrzeżeń , oszuści przygotowują profesjonalnie wyglądające legitymacje bankowe, tworzone z użyciem narzędzi generatywnej AI.
Polski Fundusz Rozwoju uruchomił Centrum Kompetencji AI
Centrum powstało w oparciu o wnioski z raportu , opracowanego przez PFR i Google Cloud Polska. Dokument pokazuje, że krajowe firmy i instytucje wciąż nie są gotowe na skalowane wdrożenia AI.
Podatność w oprogramowaniu OpenSolution QuickCMS
W oprogramowaniu OpenSolution QuickCMSwykryto podatność typu SQL Injection (CVE-2025-12465).
Prezydent zawetował ustawę o kryptoaktywach
Ustawa o rynku kryptoaktywów, jak twierdzi , została przygotowana w celu dostosowania polskich przepisów do unijnego rozporządzenia MiCA. Jej głównym założeniem miało być zwiększenie bezpieczeństwa m.in. obrotu , w tym ograniczyć nadużycia wobec polskich ob...
„Klątwa wiedzy” wyzwaniem CISO? Pracownicy wciąż nie zgłaszają incydentów
Artykuł sponsorowany
Ważne zmiany dla kierowców i właścicieli pojazdów. Prezydent podpisał ustawę
br. podpisał – Prawo o ruchu drogowym ( ). Nowe przepisy mają ułatwić życie kierowcom, właścicielom pojazdów, przedsiębiorcom oraz urzędnikom. W jaki sposób?
Galaxy Watch może uratować życie
Smartwatche Samsung umożliwiają monitorowanie treningów, snu, odżywiania i wielu innych funkcji, wspierając użytkowników w prowadzeniu zdrowszego i bardziej świadomego trybu życia. Historie kilku osób pokazują, że mogą nawet uratować życie.
Atak na skrzynki mailowe polskiej firmy. Dbaj o 2FA
Pod koniec listopada br. polska spółka akcyjna poinformowała o możliwym naruszeniu ochrony danych osobowych, który miał miejsce dwa dni wcześniej. Z racji na prośbę o zachowanie poufności zawartą w zawiadomieniu nie wskazano jej nazwy w artykule.
Koniec Cryptomixer. Europol konfiskuje 25 mln euro
Cryptomixer oferował usługę, która mieszała kryptowaluty od wielu użytkowników i losowo rozdzielała je na nowe portfele. Dzięki temu fundusze stawały się pozornie „czyste”, a ich rzeczywiste źródło zostawało ukryte. Tego typu mechanizm był chętnie wykorzyst...
Laptopy i tablety dla szkół. Ministerstwo wyłoniło dostawców
Przetarg na zakup laptopów i tabletów dla szkół w Polsce ogłoszono w maju br. W artykule na naszych łamach , że celem miało być wsparcie uczniów w rozwoju kompetencji cyfrowych, a także wyrównanie dostępu do technologii. Pomimo kontrowersji wokół rzekomego...
ByteDance i ZTE tworzą smartfon z wbudowanym AI
ByteDance w poniedziałek br. zaprezentowało zaawansowanego asystenta AI zintegrowanego z systemem operacyjnym smartfona. Efektem współpracy z jest limitowana edycja modelu Nubia M153. To telefon wyposażony w asystenta AI Doubao. Dzięki temu sztuczna intelig...
VPN nie daje pełnej ochrony. CISA ostrzega
VPN ma poprawiać bezpieczeństwo połączenia i ukrywać nasz adres IP, jednak często błędnie postrzega się to jako rozwiązanie, które załatwia wszystkie problemy związane z prywatnością i ochroną w sieci.
PKP PLK uruchamia system GSM-R na swoich liniach kolejowych
Proces wdrażania cyfrowego systemu łączności na polskiej sieci kolejowej trwa już od kilkunastu lat. Na łamach naszego serwisu stale relacjonujemy jego przebieg.
Czy TikTok jest groźnym narzędziem chińskiej propagandy?
Jedni chcą go ograniczyć lub całkowicie zakazać. Mówią o zgubnym wpływie na dzieci, zdrowie psychiczne użytkowników oraz zachodnią demokrację. Inni widzą w nim niewinne narzędzie dla nastolatków, a nawet bezpieczną przestrzeń pozbawioną dezinformacji i poli...
Kto, kiedy i dlaczego zakłóca sygnał GPS nad Polską (i nie tylko)
Co jakiś czas zainteresowanie mediów budzą doniesienia o zagłuszaniu (jamming) lub fałszowaniu (spoofing) sygnału GPS na terenie Polski. Nie inaczej było i tym razem, gdy w połowie czerwca 2025 roku w okolicach Helu i Trójmiasta operatorzy dronów ze zdziwie...
Weekendowa Lektura: odcinek 652 [2025-11-28]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Jak Wam minął tydzień? Nam, jak zwykle, intensywnie – niby nie było większych afer, ale linków nagromadziło się całkiem sporo. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej...
Podatność w oprogramowaniu Simple SA Wirtualna Uczelnia
W oprogramowaniu Wirtualna Uczelnia wykryto podatność umożliwiającą zdalne wykonanie kodu przez atakującego (CVE-2025-12140).
Podatność w oprogramowaniu routerów SDMC NE6037
W oprogramowaniu routerów SDMC NE6037 wykryto podatność pozwalającą na wstrzyknięcia komend powłoki (CVE-2025-8890).
Przewodnik po Oh My H@ck 2025, czyli dlaczego nie mam bilokacji
Oh My H@ck 2025 zapowiada się fantastycznie. Poziom zgłaszanych prelekcji był najwyższy w historii, a wybór tych, które zobaczycie już za tydzień, niezwykle trudny. Poniżej krótko napiszę o tym, których wykładów nie planuję przegapić. Ważne: nie wymienię ws...
Weekendowa Lektura: odcinek 651 [2025-11-21]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury, dzięki któremu dowiecie się, co ważnego i ciekawego wydarzyło się w ostatnim tygodniu w zakresie cyberbezpieczeństwa i prywatności. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabula...
Podatności w oprogramowaniu SOPlanning
W oprogramowaniu SOPlanning wykryto 8 podatności różnego typu (od CVE-2025-62293 do CVE-2025-62297 oraz od CVE-2025-62729 do CVE-2025-62731)
Podatność w oprogramowaniu Times Software E-Payroll
W oprogramowaniu Times Software E-Payroll wykryto nieprawidłowe neutralizowanie danych wejściowych skutkujące możliwością wykonania ataku DoS oraz (prawdopodobnie) SQL Injection (CVE-2025-9977).
Podatności w oprogramowaniu Windu CMS
W oprogramowaniu Windu CMS wykryto 8 podatności różnego typu (od CVE-2025-59110 do CVE-2025-59117)
Słynny bomber zatrzymany – ogromny sukces organów ścigania
Prokuratura Regionalna w Poznaniu oraz poznańskie CBZC ogłosiły właśnie wielki sukces – udało się znaleźć i zatrzymać sprawcę mnóstwa alarmów bombowych, który bezkarnie działał od roku 2021. Do tego trzy inne zarządy CBZC zatrzymały jeszcze 5 sprawców alarm...
Weekendowa Lektura: odcinek 650 [2025-11-15]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Linków jest dużo, a czasu mało, materiały są jak zwykle całkiem ciekawe, zaparzcie więc kawę lub herbatę i bierzcie się do czytania. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabul...
Podatności w oprogramowaniu OpenSolution QuickCMS
W oprogramowaniu OpenSolution QuickCMS wykryto 2 podatności różnego typu (CVE-2025-9982 oraz CVE-2025-10018)
Kiedy vibe coding (i vibe hosting) wejdą za mocno – studium przypadku z naszego podwórka
Gdybym za każdy publiczny katalog .git miał dostać jedną złotówkę, to może nie byłbym milionerem, ale na kilka dobrych kaw by wystarczyło. W zasadzie to mógłbym tylko utworzyć szablon „publiczny .git w firmie XYZ” i publikować artykuły za pomocą gotowca. Te...
Weekendowa Lektura: odcinek 649 [2025-11-09]. Bierzcie i czytajcie
Zapraszamy do nowego wydania Weekendowej Lektury. Jest już wprawdzie niedziela, ale przy odrobinie determinacji zdążycie przejrzeć wszystkie linki, które dla was uzbieraliśmy, a zatem miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabu...
Analiza kampanii złośliwego oprogramowania NGate (NFC relay)
W ostatnich miesiącach CERT Polska zaobserwowało nowe próbki złośliwego oprogramowania mobilnego związane z atakiem NFC Relay (NGate) wymierzonym w użytkowników polskich banków.
Podatność w oprogramowaniu Eveo URVE Smart Office
W oprogramowaniu Eveo URVE Smart Office wykryto podatność typu Cross-site Scripting (CVE-2025-10348).
Podatność w oprogramowaniu OpenSolution Quick.Cart
W oprogramowaniu OpenSolution Quick.Cart wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2025-10317).
Podatność w oprogramowaniu mMedica firmy Asseco
W oprogramowaniu mMedica firmy Asseco Poland S.A. wykryto podatność typu Authentication Bypass Using an Alternate Path or Channel i nadano jej identyfikator CVE-2025-9313.
Podatność w oprogramowaniu Studio Fabryka DobryCMS
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu 'SQL Injection' (CVE-2025-8536).
Podatność w oprogramowaniu Request Tracker
W oprogramowaniu Request Tracker firmy Best Practical wykryto podatność typu XSS i nadano jej identyfikator CVE-2025-9158.
Podatności w oprogramowaniu kamer Vilar VS-IPC1002
W oprogramowaniu Vilar VS-IPC1002 wykryto 2 podatności różnego typu (CVE-2025-53701 oraz CVE-2025-53702)
Podatności w oprogramowaniu OpenSolution QuickCMS
W oprogramowaniu OpenSolution QuickCMS wykryto 2 podatności typu Cross-site Scripting (od CVE-2025-9980 do CVE-2025-9981)
Podatność w oprogramowaniu SIMPLE.ERP
W oprogramowaniu SIMPLE.ERP wykryto podatność typu SQL Injection i nadano jej identyfikator CVE-2025-9339.
Podatność w oprogramowaniu NetBird VPN
W oprogramowaniu NetBird VPN wykryto podatność typu Use of Default Credentials (CVE-2025-10678).
Podatność w oprogramowaniu Strapi
W oprogramowaniu Strapi wykryto podatność typu Insufficient Session Expiration (CVE-2025-3930).
Dawka informacji o cyberzagrożeniach – premiera raportów miesięcznych CERT Polska
Opublikowaliśmy właśnie pierwszy raport miesięczny, podsumowujący nasze działania i obserwacje za wrzesień 2025. To początek nowej formuły komunikacji – chcemy regularnie informować o najważniejszych incydentach, trendach i aktywnościach zespołu.
Podatności w oprogramowaniu PAD CMS
W oprogramowaniu PAD CMS wykryto 9 podatności różnego typu (CVE-2025-7063, CVE-2025-7065 oraz od CVE-2025-8116 do CVE-2025-8122)
Podatność w oprogramowaniu CivetWeb
W oprogramowaniu CivetWeb wykryto podatność typu Improper Neutralization of NUL Character (CVE-2025-9648).
Podatność w kamerach GALAYOU G2
W oprogramowaniu GALAYOU G2 wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-9983).
Jak rozpoznać fałszywe strony internetowe i uniknąć phishingu
Współczesne ataki phishingowe wykorzystują dokładne kopie wizualne znanych serwisów, co uniemożliwia rozpoznanie oszustwa na podstawie wyglądu strony. Przedstawiamy metodę analizy adresów URL jako jedyną niezawodną technikę weryfikacji autentyczności witryn...
Podatności w oprogramowaniu Sparkle
W oprogramowaniu Sparkle wykryto 2 podatności typu Incorrect Authorization (CVE-2025-10015 i CVE-2025-10016)
Podatność w oprogramowaniu urządzeń SMSEagle
W oprogramowaniu urządzeń SMSEagle wykryto podatność typu SQL Injection (CVE-2025-10095).
Podatność w oprogramowaniu ITCube CRM
W oprogramowaniu ITCube CRM wykryto podatność typu Path Traversal (CVE-2025-5993).
Podatność w oprogramowaniu GOV CMS
W oprogramowaniu GOV CMS wykryto podatność typu SQL Injection (CVE-2025-7385).
Podatności w oprogramowaniu Payload CMS
W oprogramowaniu Payload CMS wykryto 2 podatności różnego typu (CVE-2025-4643 oraz CVE-2025-4644)
Podatności w oprogramowaniu OpenSolution QuickCMS
W oprogramowaniu OpenSolution QuickCMS wykryto 6 podatności różnego typu (od CVE-2025-54540 do CVE-2025-55175)
Podatności w oprogramowaniu CGM CLININET
W oprogramowaniu CGM CLININET wykryto 17 podatności różnego typu (pomiędzy CVE-2025-2313 a CVE-2025-30064)
Podatności w oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext
W oprogramowaniu OpenSolution Quick.CMS oraz Quick.CMS.Ext wykryto 3 podatności różnego typu (CVE-2025-54172, CVE-2025-54174 oraz CVE-2025-54175).
Podatność w oprogramowaniu Akcess-Net Lepszy BIP
W oprogramowaniu Akcess-Net Lepszy BIP wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-7761).
Podatność TCC Bypass w sześciu aplikacjach na MacOS
W oprogramowaniu GIMP (CVE-2025-8672), Mosh-Pro (CVE-2025-53811), Cursor (CVE-2025-9190), MacVim (CVE-2025-8597), Nozbe (CVE-2025-53813) oraz Invoice Ninja (CVE-2025-8700) na systemy MacOS wykryto podatności umożliwiające atak typu TCC Bypass.
Rekomendacje dla ustanawiania zespołów CSIRT
Oddajemy w Państwa ręce dokument, którego podstawowym celem jest wsparcie w procesie ustanawiania CSIRT-ów oraz rozwijania ich zdolności operacyjnych. Chcemy, żeby proces tworzenia zespołów cyberbezpieczeństwa przebiegał w sposób uporządkowany, a same zespo...
Podatność w oprogramowaniu Flexibits Fantastical
W oprogramowaniu Flexibits Fantastical wykryto podatność typu Incorrect Authorization (CVE-2025-8533).
Podatność w oprogramowaniu TSplus Remote Access
W oprogramowaniu TSplus Remote Access wykryto podatność umożliwiającą poznanie hasha PINu zabezpieczającego aplikację przed uruchomieniem (CVE-2025-5922).
Podatność w oprogramowaniu FARA
W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).
Podatności w aplikacjach preinstalowanych na telefonach Bluebird
W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu "Improper Export of Android Application Components" (od CVE-2025-5344 do CVE-2025-5346).
Podatność w oprogramowaniu SUR-FBD CMMS
W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).
Podatności TCC Bypass w dwóch aplikacjach na systemy macOS
W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).
Kampania UNC1151 wykorzystująca podatność w oprogramowaniu Roundcube do kradzieży poświadczeń
CERT Polska obserwuje złośliwą kampanię e-mail prowadzoną przez grupę UNC1151 przeciwko polskim podmiotom z wykorzystaniem podatności w oprogramowaniu Roundcube.
Podatność w oprogramowaniu 2ClickPortal
W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).
Podatności w aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz
W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).
Podatności TCC Bypass w trzech aplikacjach na systemy macOS
W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)
Podatność w otwartoźródłowym projekcie hackney
W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).
Podatność w oprogramowaniu kart hotelowych Be-Tech Mifare Classic
W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).
Podatność w oprogramowaniu Studio Fabryka DobryCMS
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).
Trzy podatności w oprogramowaniu MegaBIP
W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).
Rozwijamy moje.cert.pl - nowa funkcja już dostępna!
Na początku roku uruchomiliśmy serwis moje.cert.pl, podnoszący i rozwijający cyberbezpieczeństwo dzięki szeregowi usług i narzędzi. Od startu w serwisie zarejestrowało się ponad 11 tysięcy użytkowników. To dla nich włączamy dziś nową funkcję – komunikaty o...
Podatności w oprogramowaniu Proget
W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).
Podatność w oprogramowaniu EZD RP
W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).
Podatności w oprogramowaniu Netis Systems WF2220
W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).
Podatności w oprogramowaniu Symfonia Ready_
W oprogramowaniu Symfonia Ready_ wykryto 4 podatności różnego typu (od CVE-2025-1980 do CVE-2025-1983).
Podatności w oprogramowaniu SoftCOM iKSORIS
W module Internet Starter oprogramowania SoftCOM iKSORIS wykryto 11 podatności różnego typu.
Raport roczny z działalności CERT Polska w 2024 roku
Za nami kolejny rok działania zespołu CERT Polska. Rok absolutnie rekordowy, jeśli weźmiemy pod uwagę praktycznie wszystkie statystyki przytaczane w naszych dotychczasowych raportach. Za tymi liczbami stoi codzienna praca ekspertów, którzy każdego dnia dbaj...
Przegląd kampanii phishingowych z 2024 roku
Krajobraz zagrożeń występujących w polskiej cyberprzestrzeni ulega ewolucji. Z jednej strony obserwujemy dobrze znane z ostatnich lat kampanie phishingowe, których celem jest wyłudzenie loginów i haseł do popularnych usług e-mail lub serwisów społecznościow...
Meta niedostatecznie realizuje postulaty CERT Polska
Problem oszustów działających za pośrednictwem platform społecznościowych jest wciąż aktualny. Firma Meta nie zrealizowała wszystkich przedstawionych w ubiegłym roku przez ekspertów z działającego w NASK zespołu CERT Polska postulatów, które miały zwiększyć...
Dwie podatności w oprogramowaniu Streamsoft Prestiż
W oprogramowaniu Streamsoft Prestiż wykryto 2 podatności różnego typu (CVE-2024-11504 oraz CVE-2024-7407).
Podatność w aplikacji Fast CAD Reader
W aplikacji Fast CAD Reader (Beijing Honghu Yuntu Technology) wykryto podatność CVE-2025-2098 typu Incorrect Privilege Assignment.
Podatność w oprogramowaniu OXARI ServiceDesk
W oprogramowaniu OXARI ServiceDesk firmy Infonet Projekt SA wykryto podatność typu Incorrect Authorization (CVE-2025-1542).
Krytyczne podatności w kontrolerze Ingress-Nginx w Kubernetes
W popularnym kontrolerze Ingress-Nginx w wersjach do 1.12.0 i 1.11.4 włącznie znaleziono krytyczne podatności umożliwiające zdalne wykonanie kodu bez konieczności uwierzytelnienia. Ingress-Nginx Ingress-Nginx jest domyślnym kontrolerem zarządzania ruchem si...
Podatności w oprogramowaniu SIMPLE.ERP
W oprogramowaniu SIMPLE.ERP wykryto 2 podatności różnego typu (CVE-2024-8773 oraz CVE-2024-8774).
Podatność w oprogramowaniu BotSense NASK - PIB
W oprogramowaniu BotSense NASK-PIB wykryto podatność typu Improper Neutralization of Value Delimiters (CVE-2025-1774).
Podatność w oprogramowaniu PlotAI
W oprogramowaniu MLJAR PlotAI wykryto podatność typu Command Injection (CVE-2025-1497).
Podatności w oprogramowaniu kamer firmy Smartwares
W oprogramowaniu kamer Smartwares CIP-37210AT oraz C724IP wykryto 3 podatności różnego typu (od CVE-2024-13892 do CVE-2024-13894).
Podatności w oprogramowaniu CyberArk Endpoint Privilege Manager
W oprogramowaniu CyberArk Endpoint Privilege Manager wykryto 5 podatności różnego typu (od CVE-2025-22270 do CVE-2025-22274).
Podatność w aplikacji DaVinci Resolve
W aplikacji DaVinci Resolve wykryto podatność CVE-2025-1413 typu Incorrect Privilege Assignment.
Podatność w oprogramowaniu Wyn Enterprise
W oprogramowaniu Wyn Enterprise wykryto podatność CVE-2024-9150 pozwalającą uwierzytelnionemu użytkownikowi na eskalację uprawnień.
Podatność w oprogramowaniu DocsGPT
W oprogramowaniu DocsGPT wykryto podatność CVE-2025-0868 typu Command Injection.
moje.cert.pl - Twój przystanek na drodze do bezpieczeństwa w internecie
Nowy rok przynosi kolejne rozwiązania podnoszące bezpieczeństwo internetu i jego użytkowników. Prezentujemy dziś serwis, w ramach którego każdy - zarówno osoba prywatna, jak i mała firma czy duża instytucja publiczna, może budować i rozwijać swoje cyberbezp...
Podatność w oprogramowaniu authentik
W oprogramowaniu authentik wykryto podatność CVE-2024-11623 typu Stored XSS (Cross-site Scripting).
Podatność w oprogramowaniu Eura7 CMSmanager
W oprogramowaniu Eura7 CMSmanager wykryto podatność CVE-2024-11348 typu XSS (Cross-site Scripting).
Wycofanie pierwszej wersji Listy Ostrzeżeń przed niebezpiecznymi stronami
Ponad rok temu zaczęliśmy publikować listy domen w nowym formacie. Z dniem 1 czerwca 2025 r. zostanie wycofana pierwsza wersja Listy Ostrzeżeń przed niebezpiecznymi stronami.
Podatność w oprogramowaniu Kentico CMS
W oprogramowaniu Kentico CMS wykryto podatność CVE-2024-12907 typu XSS (Cross-site Scripting).
Podatności w oprogramowaniu CTFd
W oprogramowaniu CTFd wykryto 2 podatności (CVE-2024-11716 oraz CVE-2024-11717).
Podatność w aplikacji Weather Infinix Mobile
W aplikacji com.rlk.weathers Infinix Mobile wykryto podatność CVE-2024-12993 umożliwiającą ujawnienie lokalizacji użytkownika.
Podatność w oprogramowaniu DirectAdmin Evolution Skin
W oprogramowaniu DirectAdmin Evolution Skin wykryto podatność CVE-2024-10385 typu XSS (Cross-site Scripting).
Podatność w aplikacji Govee Home (Android & iOS)
W aplikacji mobilnej Govee Home na systemy Android i iOS wykryto podatność typu Incorrect Authorization (CVE-2023-4617).
Podatności w oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions
W oprogramowaniu Wapro ERP Desktop firmy Asseco Business Solutions wykryto 2 podatności (CVE-2024-4995 i CVE-2024-4996).
Podatności w oprogramowaniu Tungsten Automation TotalAgility
W oprogramowaniu Tungsten Automation (Kofax) TotalAgility wykryto 2 podatności typu XSS (CVE-2024-7874 oraz CVE-2024-7875).
Oczekiwania CERT Polska dot. rozwiązania przez firmę Meta problemów z oszustwami na jej platformach społecznościowych.
Materiał dotyczący oszustw na platformach jest już widoczny w serwisach firmy Meta, ale stanowisko CERT Polska pozostaje niezmienne. Potrzebujemy rozwiązań, które podniosą bezpieczeństwo Polaków.
Podatność w oprogramowaniu urządzeń Infinix Mobile
W aplikacji com.transsion.agingfunction instalowanej na urządzeniach Infinix Mobile wykryto podatność umożliwiającą nieautoryzowane przywrócenie urządzenia do ustawień fabrycznych (CVE-2024-10576).
Stanowisko CERT Polska dot. ograniczania przez firmę Meta widoczności artykułu na temat oszustw na tej platformie.
W odpowiedzi na coraz częstsze sygnały dotyczące ograniczania widoczności postów linkujących do opracowanej przez ekspertów CERT Polska analizy oszustw na platformach społecznościowych, chcemy podkreślić, że nie ma w nas zgody na takie działania.
Marcin Dudek nowym kierownikiem CERT Polska
Obowiązki szefa CERT Polska 1 grudnia przejmie Marcin Dudek. Natomiast Sebastian Kondraszuk, dotychczasowy szef Zespołu, obejmie nowo utworzoną funkcję architekta współpracy sektorowych CSIRT-ów.
Oszustwa reklamowe na dużych platformach internetowych
Sekretny sposób na zarabianie pieniędzy wyjawiony przez celebrytę, czy możliwość wzbogacenia się na rządowym programie inwestowania w spółki państwowe - takie informacje umieszczane przez oszustów w reklamach, które znajdujemy na platformach społecznościowy...
Uwaga fałszywa CAPTCHA, czyli nie daj się zainfekować
Captcha, czyli „Udowodnij, że nie jesteś robotem” to znany element wielu stron internetowych. Ponieważ nie wzbudza podejrzeń, bywa czasami wykorzystywany przez cyberprzestepców do dystrybucji szkodliwego oprogramowania.
Podatność w oprogramowaniu TCL Camera
W oprogramowaniu TCL Camera wykryto podatność typu Path Traversal (CVE-2024-11136).
Podatność w oprogramowaniu DInGO dLibra
W oprogramowaniu DInGO dLibra Poznańskiego Centrum Superkomputerowo-Sieciowego wykryto podatność typu Reflected XSS (CVE-2024-7124).
Podatność w oprogramowaniu terminali PAX POS
W oprogramowaniu terminali PAX POS bazujących na Androidzie wykryto podatność pozwalającą na eskalację uprawnień (CVE-2023-42133).
Mroczny rycerz powraca: Analiza złośliwego oprogramowania Joker
Zespół CERT Polska zaobserwował w ostatnich tygodniach nowe próbki złośliwego oprogramowania na urządzenia mobilne "Joker" w Google Play Store wycelowane między innymi w polskich użytkowników.
Podatność w oprogramowaniu Redlink SDK
W oprogramowaniu Redlink SDK firmy Vercom S.A. wykryto podatność typu Resource Injection i nadano jej identyfikator CVE-2024-6051.
Podatności w oprogramowaniu MegaBIP
W oprogramowaniu MegaBIP wykryto 2 podatności różnego typu (CVE-2024-6662 oraz CVE-2024-6880).
CyberParawan 2024 - Podsumowanie
W tegorocznej edycji cyklu #CyberParawan zamiast leżeć na plaży, zabraliśmy Was w podróż przez letnie strategie cyberprzestępców.
Podatności w oprogramowaniu HyperView Geoportal Toolkit
W oprogramowaniu HyperView Geoportal Toolkit wykryto 2 podatności różnego typu (CVE-2024-6449 oraz CVE-2024-6450).
Podatność w oprogramowaniu ConnX ESP HR Management
W oprogramowaniu ConnX ESP HR Management wykryto podatność typu Stored XSS i nadano jej identyfikator CVE-2024-7269.
Podatność w oprogramowaniu routerów KAON AR2140
W oprogramowaniu routerów KAON AR2140 wykryto podatność typu Command Injection (CVE-2024-3659).
Podatności w oprogramowaniu EZD RP
W oprogramowaniu EZD RP wykryto 3 podatności różnego typu (od CVE-2024-7265 do CVE-2024-7267).
Program CVE – pierwszy rok za nami!
CERT Polska od roku ma status CNA (CVE Numbering Authority), co pozwala na nadawanie identyfikatorów i publikowanie informacji o podatnościach w programie CVE. W ciągu ostatnich 12 miesięcy nadaliśmy 73 takie identyfikatory podatnościom, także tym odkrytym...
Podatność w oprogramowaniu Stackposts Social Marketing Tool
W oprogramowaniu Stackposts Social Marketing Tool wykryto podatność typu Cross-site Scripting i nadano jej identyfikator CVE-2024-7127.
Oszustwa biletowe
Wakacje to czas, kiedy słowo „bilet” nabiera szczególnego znaczenia. A skoro „bilet” to wakacyjne słowo-klucz, to jest to też świetny wabik wykorzystywany przez wirtualnych oszustów.
Dane zaktualizowano: 2025-12-08 23:49