Podatności w oprogramowaniu R-SOFT DMS
W oprogramowaniu R-SOFT DMS wykryto 5 podatności różnego typu (od CVE-2026-41876 do CVE-2026-41880)
W oprogramowaniu R-SOFT DMS wykryto 5 podatności różnego typu (od CVE-2026-41876 do CVE-2026-41880)
Ponad 15 tys. przesyłek o czarnorynkowej wartości przekraczającej 15 mln zł, nielegalne laboratorium i sieć sprzedaży działająca za pośrednictwem forów, komunikatorów oraz platform społecznościowych – tak wyglądała działalność grupy podejrzanej o produkcję...
Czy Twoje prywatne wiadomości będą skanowane? Ważne głosowanie w Parlamencie Europejskim w sprawie tzw. Chat Control 1.0 podzieliło polskich europosłów. Sprawdź, kto był „za”, a kto „przeciw”.
Nowe przepisy KSC obejmą znacznie więcej firm, niż wielu się wydaje, a kary za ich niespełnienie będą dotkliwe. Eksperci ostrzegają jednak przed groźną pułapką: na rynku już pojawiają się „para-usługi”, które obiecują spełnienie wymogów za grosze. To prosta...
Wielka Brytania chce zbudować ogólnokrajowy system aktywnej cyberobrony oparty na agentach sztucznej inteligencji. Cyber Shield będzie automatycznie wykrywać podatności, analizować zagrożenia i wspierać reakcję na incydenty w skali całego państwa. NCSC zakł...
Funkcjonariusze zatrzymali osiem osób, które miały legalizować środki pieniężne pochodzące z oszustw internetowych. Podejrzani udostępniali cyberprzestępcom za opłatą rachunki bankowe, które to były wykorzystywane do przelewania środków na kolejne konta lub...
Cyberprzestępcy próbują wyłudzić dane logowania do platformy Microsoft 365, wysyłając fałszywe faktury. Udało się nam ustalić, że najprawdopodobniej doszło do przejęcia skrzynki mailowej w domenie „warsawexpo.eu”.
Wykrycie zagrożenia to dopiero początek. Nawet najlepszy alert nie zatrzyma atakującego, jeżeli za jego wygenerowaniem nie pójdzie szybka i adekwatna reakcja. Wazuh może nie tylko zbierać logi i wykrywać podejrzane zdarzenia. Dzięki mechanizmom Active Respo...
O prawie, które w założeniu ma służyć bezpieczeństwu dzieci w internecie (ale w rzeczywistości zamiast ten problem skutecznie rozwiązywać jest uosobieniem tzw. “teatru bezpieczeństwa” i powoduje nowe problemy, w tym groźne dla prywatności nas wszystkich zmi...
W oprogramowaniu SOPlanning wykryto podatność typu SQL Injection (CVE-2026-50644).
Unijny system autoryzacji podróży będzie wdrożony z opóźnieniem. Problemy z funkcjonowaniem wdrożonego w zeszłym roku Systemu Wjazdu/Wyjazdu przekonały Agencję ds. Zarządzania Wielkoskalowymi Systemami Informatycznymi, że tegoroczny termin nie jest już możl...
19-letni Petera Stokes to członek głośnej grupy Scattered Spider znanej też jako Octo Tempest, UNC3944 i 0ktapus, która zasłynęła z wyrafinowanych ataków socjotechnicznych, SIM swappingu i ataków ransomware. Wpadł, bo do przeprowadzania ataków korzystał z W...
W Genewie zapadła ważna decyzja w sprawie przyszłości dzieci i sztucznej inteligencji. Podczas Globalnego Dialogu ONZ powołano międzynarodową koalicję, która ma chronić najmłodszych i ich prawa w erze AI. Choć w szczycie uczestniczył wicepremier Krzysztof G...
W oprogramowaniu GNU patch wykryto 2 podatności różnego typu (CVE-2026-56288 i CVE-2026-56289)
Szczyt NATO w Ankarze zakończył się stanowczymi deklaracjami państw członkowskich i gigantycznymi kontraktami zbrojeniowymi na kwotę 50 miliardów dolarów. Sojusz stawia na najnowocześniejsze technologie, w tym sztuczną inteligencję i cyfrową tarczę, aby odp...
Kamera skierowana na kierowcę, alarm po kilku sekundach nieuwagi i obietnica większego bezpieczeństwa na drogach. Od 7 lipca 2026 r. nowe samochody sprzedawane w Unii Europejskiej muszą być wyposażone w ADDW – system ostrzegający przed rozproszeniem uwagi k...
Skala ataków na użytkowników komunikatorów Signal oraz WhatsApp nie słabnie. Okazuje się, że mechanizmy bezpieczeństwa zaimplementowane w protokołach są na tyle skuteczne, że cyberprzestępcy nie mają tam zbyt dużego pola manewru. Zdecydowanie najprostszym i...
Na przełomie maja i czerwca europejskie służby przeprowadziły operację „Torch”. W ramach zwalczania przestępczości związanej z seksualnym wykorzystywaniem dzieci aresztowano 28 osób w siedmiu krajach. W akcji wzięło również udział Centralne Biuro Zwalczania...
Prywatny wpis, zdjęcie z wakacji, komentarz pod postem albo nowa internetowa znajomość – w przypadku żołnierzy i pracowników Ministerstwa Obrony Narodowej nawet codzienna aktywność w sieci może mieć konsekwencje wykraczające poza sferę prywatną. Nowe wytycz...
Wypracowanie wspólnych zasad przetwarzania danych ułatwiłoby redakcjom stosowanie odpowiednich zabezpieczeń informacji – stwierdził Prezes Urzędu Ochrony Danych Osobowych. Mirosław Wróblewski zachęcił środowiska dziennikarskie do sporządzenia Kodeksu postęp...
Hiszpańska policja zatrzymała mężczyznę podejrzewanego o współpracę z prorosyjskimi cyberprzestępcami. Tamtejsze służby wspomogło amerykańskie FBI. Policía Nacional określiła dwie grupy haktywistów (hakerów-aktywistów) jako „grupy terrorystyczne”. W sprawie...
Komisja Europejska przedstawiła plan dotyczący wykorzystania możliwości zaawansowanych modeli AI w zakresie cyberbezpieczeństwa. Unia Europejska ma uzyskać zdolności w zakresie oceniania narzędzi pod tym kątem, a także określić plan dostępu do zaawansowanyc...
Ataki ransomware stały się jednym z głównych cyberzagrożeń w Polsce. Cyberprzestępcy nie oszczędzają nawet szpitali czy uczelni. Odpowiedzią jest projekt warty kilkadziesiąt milionów złotych. Powstało już 18 policyjnych zespołów a w budowie jest system, któ...
Polskie organizacje coraz mocniej inwestują w SIEM – 45,8% badanych firm już go posiada, a kolejne 32,5% planuje wdrożenie. Jednak samo posiadanie narzędzia to dopiero początek drogi. Jak wynika z najnowszego raportu Trecom i Splunk „SIEM 2026”, kluczowym w...
Pod koniec ubiegłego roku dowiedzieliśmy się, że ok. 10% przychodów Mety pochodzi z oszukańczych reklam. BBC ujawniło, że na Instagramie pojawiły się reklamy promujące materiały zawierające wykorzystywanie seksualne dzieci (CSAM). Treści były do kupienia na...
Amerykańska agencja cyberbezpieczeństwa korzysta z modelu Mythos – wynika z doniesień medialnych. Sztuczna inteligencja przygotowana przez Anthropic jest używana do weryfikacji rządowego oprogramowania pod kątem podatności. Dzieje się to pomimo niedawnego z...
Badacze z Island zidentyfikowali wtyczkę do przeglądarki Chrome, która – jak się okazało – miała możliwość wstrzykiwania kodu JavaScript do dowolnej strony internetowej. Wystarczyłaby zmiana w odpowiedzi zwracanej przez serwer, bez modyfikacji kodu rozszerz...
Spekulacji związanych z rozwojem komputerów kwantowych jest wiele. Jedni uważają, że urządzenie zdolne do złamania współczesnych algorytmów kryptograficznych nigdy nie powstanie, a prowadzone w tej dziedzinie badania naukowe są tylko teoretycznymi rozważani...
Nie tak dawno pisaliśmy o serii podatności Dirty Frag występujących w większości nowoczesnych dystrybucji Linuksa. I choć mogłoby się wydawać, że deweloperzy naprawili błędy, to najnowsze badania pokazują, że problem nie został jednak wyeliminowany. W jądrz...
Komunikator WhatsApp jest jednym z najczęściej wybieranych narzędzi do wymiany informacji na całym świecie. Szacuje się, że używa go ponad 3 miliardy osób. I mimo, że jest to oprogramowanie o zamkniętym kodzie źródłowym, a co za tym idzie, trudno potwierdzi...
Rosyjska propaganda ponownie sięga po jedną z najbardziej dotkliwych ran w relacjach polsko-ukraińskich. W sieci pojawił się sfabrykowany materiał, który podszywa się pod doniesienie medialne i przedstawia Ukrainę jako rzekome zagrożenie dla regionu.
W szkołach będą odbywać się zajęcia związane z deepfake’ami. W efekcie zmiany projektu rozporządzenia dotyczącego podstawy programowej, zagrożenia związane z wygenerowanymi przez AI treściami staną się elementem edukacji zdrowotnej. Postulat związany z tą k...
W tym roku na szkolenia dla służb mundurowych z zakresu kompetencji cyfrowych przeznaczono 3 mln zł. Kolejnych 1750 funkcjonariuszy ma zyskać nowe umiejętności w walce z dezinformacją czy wykorzystaniem sztucznej inteligencji.
East Kent Hospitals NHS Trust wdrożył MEMORI – system, który wykorzystuje sztuczną inteligencję do wczesnego wykrywania ryzyka zakażeń u pacjentów. Narzędzie analizuje dostępne dane kliniczne i wskazuje chorych wymagających szczególnej uwagi. Na uwagę zasłu...
Poprawna anonimizacja jest niezwykle ważna w przypadku dokumentów, które zawierają dane osobowe oraz są publikowane w Biuletynie Informacji Publicznej. Znaleźliśmy 20 protokołów kontroli ZUS-u, które zawierały dane osobowe ponad 250 pracowników podmiotów pu...
Na Facebooku krążą reklamy kasyna wykorzystującego wizerunek systemu płatności Blik. Oszuści stworzyli także stronę podszywającą się pod Sklep Play, która wymaga określonej przeglądarki do pobrania „aplikacji”. Obiecują jednocześnie duży „bonus powitalny” i...
Atak nazwany przez badaczy FortiBleed nie jest zwykłym wyciekiem haseł. To przykład operacji, w której przestępcy wykorzystali słabo zabezpieczone urządzenia brzegowe, stare dane logowania i mechanizm automatycznego sprawdzania haseł. Wszystko po to, aby uz...
Modyfikacja radiotelefonów GSM-R/VHF do równoległej pracy systemów wymaga wykazania braku negatywnego wpływu na działanie cyfrowego systemu – stwierdzono podczas XIV posiedzenia Grupy Użytkowników ERTMS. Na spotkaniu omówiono również problemy związane z uży...
Wielkie projekty takie, jak Mapy Google nie mogłyby istnieć bez społeczności zasilających je swoją wiedzą i najświeższymi informacjami z pierwszej ręki. Na swoim blogu Google deklaruje, że codziennie otrzymuje około 20 milionów wpisów od użytkowników Map Go...
Zamiast Pałacu Prezydenckiego pojawił się „Pałac Kibolski”. Skandaliczne i wulgarne nazwy dobrze znanych miejsc w samym sercu Warszawy widnieją w Google Maps. Internauci przecierają oczy ze zdumienia i pytają: czy ktoś nad tym panuje?
Od 18 lat w Wojsku Polskim funkcjonuje Centrum Wsparcia Systemów Dowodzenia Sił Zbrojnych. Powstała w okresie rewolucji w wojskowych systemach łączności jednostka stała się jedną z czołowych organizacji w zakresie teleinformatyki wojskowej. Wielu jej oficer...
Badacz bezpieczeństwa o pseudonimie Eaton ujawnił podatności, które znalazł w 2 aplikacjach webowych firmy Johnson & Johnson. Pierwsza umożliwiała dostęp do danych niemal tysiąca studentów, a druga pozwalała na uzyskanie uprawnień administratora w wewnętrzn...
Fałszywe oferty last minute, podrobione bony wakacyjne, wiadomości podszywające się pod hotele, linie lotnicze i znane portale rezerwacyjne. Sezon urlopowy to dla cyberprzestępców czas wzmożonej aktywności. Oszuści wykorzystują presję czasu, atrakcyjne ceny...
Zapraszamy do nowego wydania Weekendowej Lektury. Jak zawsze szukaliśmy tematów, które pomagają lepiej zrozumieć aktualny krajobraz zagrożeń. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej raport „Internet dzieci 2026”, z kt...
W ramach postępowania wyjaśniającego katastrofę lotniczą w Louisville, NTSB opublikowało spektrogram nagrania z rejestratora rozmów w kokpicie. Internauci w krótkim czasie odtworzyli je przy pomocy sztucznej inteligencji, zaś amerykańska agencja wyjaśniając...
Gdy temperatura rośnie, problemy z elektroniką zaczynają się szybciej, niż mogłoby się wydawać. Wystarczy chwila w pełnym słońcu, ładowanie w nagrzanym miejscu albo praca pod dużym obciążeniem, by urządzenie zaczęło wysyłać pierwsze sygnały ostrzegawcze. La...
Czasami w przestrzeni publicznej pojawiają się informacje o rzekomych wyciekach danych klientów z polskich witryn, które później okazują się nieprawdziwe. Wykorzystywane są do tego wizerunki znanych firm. Dlaczego mogliśmy usłyszeć o wyciekach danych, który...
Phishingowy mail rzekomo od biskupa, fałszywa strona parafii czy wygenerowane nagranie z kardynałem reklamującym lek na stawy – to tylko niektóre przypadki tego, jak cyberprzestępcy podszywają się pod duchownych Kościoła. Wiele kampanii ma na celu wyłudzani...
Telefon jednego z europosłów został zainfekowany Pegasusem – ujawniło CitizenLab. Według danych ekspertów, oprogramowanie miało być instalowane na sprzęcie parlamentarzysty dwukrotnie. Oba przypadki miały miejsce w istotnych dla Komisji śledczej ds. zbadani...
Planujemy osiągnięcie zdolności operacyjnej CSIRT Cyfra na IV kwartał 2026 roku – przekazało Ministerstwo Cyfryzacji redakcji CyberDefence24. W pierwszej kolejności realizowane będą podstawowe zadania przewidziane w ustawie o krajowym systemie bezpieczeństw...
System zarządzania rezerwacjami w wielu polskich hotelach został zhakowany. Cyberprzestępcy mieli uzyskać nieuprawniony dostęp do danych gości hotelowych w obiektach obsługiwanych przez Hotres oraz rozsyłać wiadomości phishingowe, które miały na celu wyłudz...
Rachunki telefoniczne wyższe nawet o kilka tysięcy złotych, ponad 260 pokrzywdzonych i śledztwo, które wciąż może się rozszerzyć. To bilans sprawy 17-latka podejrzanego o włamania na konta abonentów i aktywowanie płatnych usług premium na ich koszt.
Dane przesyłane do modelu GPT5.5-Cyber nie mogą być wykorzystywane do treningu – przekazał redakcji CyberDefence24 Marcin Dudek, kierownik CERT Polska. Już na obecnym etapie jego zastosowanie umożliwiło znalezienie podatności w oprogramowaniu. Jak się dowie...
Usługa z której tysiące polskich hoteli korzysta do przyjmowania i zarządzania rezerwacjami została zhackowana. Włamywacze uzyskali dostęp do danych gości hotelowych różnych obiektów obsługiwanych przez system Hotres i do wielu z nich już skierowali fałszyw...
Sejm zakończył parlamentarne prace nad projektem ustawy o systemach sztucznej inteligencji, która ma dostosować polskie przepisy do unijnego AI Act. Posłowie rozpatrzyli poprawki Senatu, przyjmując 24 z 25 rekomendowanych zmian. Regulacja trafi teraz do pre...
Walczą na niewidzialnym froncie, odpierając tysiące ataków z Rosji. 3 lipca to dla nich wyjątkowy dzień. Dziś Wojska Obrony Cyberprzestrzeni obchodzą swoje święto.
Sztuczna inteligencja nie jest już dodatkiem do planowania obronnego NATO. Staje się jednym z kluczowych elementów dowodzenia, rozpoznania, cyberobrony, walki informacyjnej, interoperacyjności i przyszłej przewagi wojskowej. W rozmowie z dr. Aleksandrem Ole...
Od początku pełnoskalowej wojny Służba Bezpieczeństwa Ukrainy zneutralizowała ponad 16 tys. cyberataków i cyberincydentów przypisywanych Rosji. Jednym z głównych celów prokremlowskich hakerów pozostają ukraińskie media, dlatego zdecydowano się podnieść ich...
Google przegrało przed Trybunałem Sprawiedliwości Unii Europejskiej w sprawie wykorzystywania Androida do blokowania konkurencji. Komisja Europejska nałożyła w 2018 roku na firmę karę w wysokości 4,34 miliardów euro za nieuczciwe praktyki. Amerykanie deklar...
W oprogramowaniu OpenIDC liboauth2 wykryto 2 podatności różnego typu (CVE-2026-54430 i CVE-2026-54431)
Polscy specjaliści mogą korzystać z narzędzia sztucznej inteligencji, które służy do podnoszenia cyberbezpieczeństwa. Na użycie modelu GPT-5.5 przez NASK wyraziły zgodę amerykańskie władze. Rozwiązanie będzie pomagało w analizie szkodliwego oprogramowania,...
Wszyscy mówili o zakazie telefonów w podstawówkach, ale nowe poprawki posłów idą znacznie dalej. Smartfony znikną z kolejnych placówek, a przepisy uderzą też w popularne gadżety.
Konto mailowe jednego z pracowników Wydziału Filozoficznego Uniwersytetu Jagiellońskiego zostało przejęte i wykorzystane do rozsyłania spamu. Najstarsza polska uczelnia wydała komunikat w tej sprawie, ostrzegając o możliwości otrzymania maili phishingowych.
Przestępcy podszywają się pod operatorów stref płatnego parkowania i wysyłają SMS-y o rzekomej zaległej opłacie. Link w wiadomości prowadzi do fałszywej strony płatności, gdzie oszuści próbują wyłudzić dane pojazdu i karty płatniczej.
Gdzie kończy się odpowiedzialność człowieka, a zaczyna… maszyny? Sprawa śmierci kobiety w wypadku samochodowym w Teksasie każe nam zastanowić się nad etyką i rozwojem autonomicznych pojazdów. Widoczny jest duży rozdźwięk pomiędzy stanowiskiem amerykańskiej...
Sejmowe komisje cyfryzacji oraz ds. dzieci i młodzieży zajęły się rządowym projektem ustawy dotyczącym ochrony małoletnich przed pornografią. Podczas środowego posiedzenia dyskutowano m.in. nad mechanizmami weryfikacji wieku, czy możliwościami obejścia ogra...
W oprogramowaniu MyComplianceOffice MCO wykryto 8 podatności różnego typu (od CVE-2026-53902 do CVE-2026-53909)
W oprogramowaniu KTM System e-BOK wykryto 4 podatności różnego typu (od CVE-2026-35095 do CVE-2026-35098)
W oprogramowaniu fzf wykryto 2 podatności różnego typu (CVE-2026-53432 i CVE-2026-53433)
TL;DR – zapraszamy do pracy w Securitum/Sekuraku – w tej fali rekrutacji planujemy sumarycznie zatrudnić 4 osoby hackerskie 🙂 Trzy poziomy doświadczenia: junior, med, senior. Zapraszamy z terenu całego kraju :) Praca zdalna, fajne warunki, szczegóły poniżej...
W oprogramowaniu Redeight CMS wykryto 3 podatności różnego typu (od CVE-2026-53690 do CVE-2026-53692)
W oprogramowaniu Raytha CMS wykryto podatność typu SQL Injection (CVE-2026-12076).
Obecnie praktycznie na każdym kroku spotykamy się z pojęciem AI. Gdy producent mówi o nowym smartfonie czy też urządzeniu domowym, zawsze zapewnia o wsparciu sztucznej inteligencji, cokolwiek by to miało znaczyć. Nie inaczej jest ze Smart TV, gdzie zostały...
W oprogramowaniu libxml2 wykryto podatność typu Stack-based Buffer Overflow (CVE-2026-11979).
W oprogramowaniu SzafirHost wykryto podatność typu Unrestricted Upload of File with Dangerous Type (CVE-2026-13165).
W oprogramowaniu gzip wykryto 2 podatności różnego typu (CVE-2026-41991 i CVE-2026-41992)
Zapraszamy do nowego wydania Weekendowej Lektury. Staraliśmy się, aby zebrane przez nas linki były ciekawe i różnorodne oraz dotyczyły spraw istotnych. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej obszerny materiał, z któr...
Wakacje oznaczają czas wolny dla dzieci, ale niekoniecznie dla rodziców. Dzieci, które nie idą do szkoły, często idą przed ekrany, a tam wiadomo, może czaić się na nie zło. Czy rodzic może skutecznie kontrolować co dziecko widzi na ekranie lub ile czasu prz...
Managery haseł dzielą się na takie, które mają element “chmurowy” i takie, w których synchronizacja bazy haseł między urządzeniami spada na użytkownika (można na pendrive, można AirDropem, można przez swoją prywatną chmurę). LastPass należy do tej pierwszej...
Z jakimi atakami najczęściej musi liczyć się dostawca szkolnego e-dziennika? Jak wiele podmiotów naprawdę korzysta z tego narzędzia? Z jakimi innymi systemami trzeba taki dziennik zintegrować i czy naprawdę łatwo będzie to zastąpić jednym państwowym rozwiąz...
W oprogramowaniu DRIMO CMS wykryto podatność typu Reflected Cross-site Scripting (CVE-2026-11772).
W oprogramowaniu routera Totolink EX1200L wykryto podatność typu Stack-based Buffer Overflow (CVE-2026-44089).
Czy to normalne, że czytnik linii papilarnych znika z podstawowych konfiguracji urządzenia i jest sztucznie zarezerwowany tylko dla droższych modeli laptopa? Analizujemy rynkowe absurdy i pokazujemy, jak architektura Secured-core PC, układy TPM 2.0 oraz wbu...
Zapraszamy do nowego wydania Weekendowej Lektury. Znajdziecie w nim – jak zwykle – istotne informacje z obszaru cyberbezpieczeństwa obejmujące miniony tydzień. Dajcie znać w komentarzach, które tematy najbardziej Was zaciekawiły. Miłego klikania! W dzisiejs...
W oprogramowaniu UBB.threads wykryto 6 podatności różnego typu (od CVE-2026-54219 do CVE-2026-54224)
W oprogramowaniu LMS (LAN Management System) wykryto 3 podatności różnego typu (od CVE-2026-40455 do CVE-2026-40457)
W kompilatorze 8cc wykryto podatność typu Out-of-bounds Read (CVE-2026-50643).
W bibliotece jansi wykryto podatność typu Heap-based Buffer Overflow (CVE-2026-8484).
W oprogramowaniu Responsive FileManager wykryto podatność pozwalająca na zdalne wykonanie kodu (CVE-2026-5482).
W oprogramowaniu Quick.CMS wykryto podatność typu Deserialization of Untrusted Data (CVE-2026-11860).
Zapraszamy do nowego wydania Weekendowej Lektury. Opisy nowych zmagań badaczy z cyberprzestępcami, szczegóły świeżo odkrytych luk, analizy nowych kampanii – każdy znajdzie coś dla siebie. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części...
W ostatnim czasie obserwujemy ataki grupy UNC1151/Ghostwriter na pocztę Gmail. Grupa ta od kilku lat regularnie atakuje skrzynki pocztowe polskich obywateli, ale ataki te w przeszłości dotyczyły innych dostawców poczty. Wykorzystywane techniki z biegiem cza...
W oprogramowaniu Golem OEE MES wykryto podatność typu Path Traversal (CVE-2026-8464).
W oprogramowaniu Aix-DB wykryto podatność typu Missing Authentication for Critical Function (CVE-2026-8335).
W oprogramowaniu Logseq wykryto 4 podatności różnego typu (CVE-2026-9279 oraz od CVE-2026-47899 do CVE-2026-47901)
Kto może, wdraża AI, gdzie może. Bo taki mamy klimat. Instagram też wdrożył, ale w sposób, który zasługuje na nagrodę Darwina, bo ich inteligentny bot każdemu umożliwiał przejęcie konta dowolnego użytkownika. Wystarczyło poprosić o zmianę e-maila… “Cześć gu...
Zapraszamy do nowego wydania Weekendowej Lektury. Jest już wprawdzie niedziela, ale przy odrobinie determinacji zdążycie przejrzeć wszystkie linki, które dla Was uzbieraliśmy, a zatem miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabu...
Ruszamy z cyklem szkoleń o AI. Ale to nie będzie kolejny nudny przegląd pierdyliarda narzędzi, które dodały jakąś funkcję AI i służą np. do tworzenia piękny prezentacji, czy (małosensowna aktualnie) nauka pisania promptów albo pokazy tego, jak użyć LLM-a do...
W oprogramowaniu school-management-system wykryto 2 podatności różnego typu (CVE-2026-47324 i CVE-2026-47325)
Koniec z klikaniem “mam ukończone 18 lat”. Rząd przyjął projekt ustawy, który ma skutecznie zablokować nieletnim dostęp do pornografii w sieci. Czy tym razem rewolucja (wielokrotnie zapowiadana) zostanie wdrożona? I czy powinnismy dzieci chronić przed porno...
W oprogramowaniu Wirtualna Uczelnia wykryto 2 podatności różnego typu (CVE-2026-34906 i CVE-2026-34907)
Z moje.cert.pl korzysta już ponad 20 tysięcy użytkowników. Świadomość potencjalnych podatności i załatanie ich zanim zostaną wykorzystane do nadużyć, to jeden z podstawowych elementów dbania o bezpieczeństwo domeny.
W oprogramowaniu KS-SOMED wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-42251).
W oprogramowaniu SOPlanning wykryto 7 podatności różnego typu (od CVE-2026-40543 do CVE-2026-40549)
Zapraszamy do nowego wydania Weekendowej Lektury. Znajdziecie tu jak zwykle istotne informacje z obszaru cyberbezpieczeństwa obejmujące miniony tydzień. Miłego klikania! W dzisiejszym wydaniu szczególnie polecamy w części fabularnej materiał pokazujący, jak...
W oprogramowaniu QuickCMS wykryto 2 podatności różnego typu (CVE-2026-33384 oraz CVE-2026-33386)
W aplikacji Kidsview wykryto podatność pozwalającą na ominięcie uwierzytelnienia (CVE-2026-8990).
W routerze D-Link DWR-X1820 wykryto wykorzystanie słabych poświadczeń (CVE-2026-4377).
W oprogramowaniu bzip2 wykryto podatność typu Out-of-bounds Write (CVE-2026-42250).
W oprogramowaniu central telefonicznych Slican wykryto 3 podatności różnego typu (CVE-2026-35087, CVE-2026-35089 oraz CVE-2026-35090)
W rozmowach o Zero Trust Network niemal zawsze pojawiają się te same elementy: laptopy, serwery, tożsamości, aplikacje, dostęp do chmury. To ważne obszary. Ale w tej całej dyskusji bardzo łatwo pominąć obszar, w którym dane cyfrowe przestają być abstrakcją...
W środę, 27 maja, o godz. 19:00 będziemy gościć na naszej YouTubowej antenie podcastu Na Podsłuchu Dyrektora Departamentu Cyberbezpieczeństwa w Ministerstwie Cyfryzacji, Łukasza Wojewodę — człowieka, który ogarnia polskie cyberbezpieczeństwo na poziomie kra...
W oprogramowaniu Szafir SDK wykryto podatność typu Improper Certificate Verification (CVE-2026-9058).
Podatność umożliwiająca zalogowanie się na konto dowolnego użytkownika występowała w kilkunastu systemach administracji publicznej, w tym ZUS i CEZ. Wymagania? Dostęp do internetu, znajomość PESEL-u ofiary i posiadanie odpowiednich narzędzi. Przeprowadzenie...
Co najmniej kilkanaście systemów administracji publicznej dostępnych z poziomu internetu było podatnych na atak umożliwiający całkowite pominięcie uwierzytelniania i zalogowanie się na konto dowolnej osoby fizycznej przy założeniu znajomości imienia, nazwis...
Czy można wdrożyć zaawansowany zestaw zabezpieczeń tylko po to, aby przez przypadek zapomnieć go użyć? Dziś opowiem, jak powstała podatność umożliwiająca wejście na konto dowolnego użytkownika w większości systemów Ministerstwa Sprawiedliwości i kilku innyc...
Opowieść o tym, jak chciałem naprawić prosty błąd w oprogramowaniu, a skończyłem, odkrywając szereg podatności o niepokojąco dużej sile rażenia. W pierwszej części skupimy się na analizie popularnego dodatku do przeglądarki, który przez niedopatrzenia w alg...
W oprogramowaniu kamer Kenik wykryto podatność typu Path Traversal (CVE-2026-7766).
Cyber Resilience Act (CRA), czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/2847, wprowadza jednolite w całej Unii Europejskiej wymagania dotyczące cyberbezpieczeństwa produktów z elementami cyfrowymi. Celem regulacji jest zwiększenie poziomu...
W oprogramowaniu OutSystems Lifetime wykryto podatność typu Authorization Bypass Through User-Controlled Key (CVE-2026-40127).
W oprogramowaniu vifm wykryto podatność typu przepełnienie bufora (CVE-2026-8997).
W oprogramowaniu STER wykryto 3 podatności różnego typu (od CVE-2026-25606 do CVE-2026-25608)
W oprogramowaniu Request Tracker wykryto podatność typu Cross-site Scripting (CVE-2026-6841).
W produktach Pro Cloud Server oraz Enterprise Architect firmy Sparx Systems wykryto 5 podatności różnego typu (od CVE-2026-42096 do CVE-2026-42100)
Od kilku miesięcy co jakiś czas do naszej redakcji zgłaszały się osoby, które twierdziły, że ktoś chce je oszukać. Bo dostały niespodziewany przelew BLIK-iem na swój numer telefonu a chwilę później odebrały SMS-a lub telefon z prośbą o zwrot tego przelewu....
W oprogramowaniu DHTMLX wykryto 3 podatności różnego typu (CVE-2026-7182, CVE-2026-41552 oraz CVE-2026-41553)
W oprogramowaniu SzafirHost wykryto podatność typu Unrestricted Upload of File with Dangerous Type (CVE-2026-44088).
W oprogramowaniu Verint Verba wykryto podatność typu Cross-site Scripting (CVE-2026-21730).
W oprogramowaniu WEBCON BPS wykryto podatność typu Cross-site Scripting (CVE-2026-1630).
W oprogramowaniu Comarch ERP Optima wykryto 2 podatności różnego typu (CVE-2025-68420 oraz CVE-2025-68421)
Projekt CCN jest dofinansowany ze środków Europejskiego Funduszu Rozwoju Regionalnego oraz ze środków Budżetu Państwa w ramach Programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027. Fuzzing to technika automatycznego testowania oprogramowania polegająca...
W bibliotece simdjson wykryto podatność typu Integer Overflow (CVE-2026-8295).
W projekcie Code Runner MCP Server wykryto podatność typu Missing Authentication for Critical Function (CVE-2026-5029).
W poprzedniej części omówiliśmy utwardzanie drukarek i urządzeń wielofunkcyjnych (MFP) – zamykanie bram, wyłączanie niepotrzebnych usług i hartowanie konfiguracji. Jeśli przegapiłeś tę część – warto do niej wrócić. Jeśli masz to za sobą – czas na kolejny kr...
W oprogramowaniu ATutor wykryto 2 podatności typu Cross-site Scripting (CVE-2026-6909 oraz CVE-2026-6956)
Otrzymujemy zgłoszenia, że na polskie numery telefonów rozsyłana jest kampania SMS-owa, w ramach której przestępcy wysyłają SMS-y z nazwy “mObywatel” — czyli dokładnie tej samej, którą posługuje się oficjalny rządowy system. Wiadomości brzmią wiarygodnie i...
W oprogramowaniu układowym bramek Modbus 3onedata GW1101-1D(RS-485)-TB-P wykryto podatność typu OS Command Injection (CVE-2025-13605).
W oprogramowaniu LEX Baza Dokumentów wykryto podatność typu Cross-site Scripting (CVE-2026-1493).
W oprogramowaniu Ollama wykryto 2 podatności prowadzące do zdalnego wykonania kodu (CVE-2026-42248, CVE-2026-42249)
W oprogramowaniu mpGabinet wykryto 3 podatności różnego typu (od CVE-2026-40550 do CVE-2026-40552)
W oprogramowaniu AdaptiveGRC wykryto podatność typu Cross-site Scripting (CVE-2026-4313).
W oprogramowaniu GNU sed wykryto podatność typu Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2026-5958).
W oprogramowaniu Fudo Enterprise wykryto podatność typu Incorrect Authorization (CVE-2025-13480).
W oprogramowaniu PAC4J wykryto 2 podatności różnego typu (CVE-2026-40458, CVE-2026-40459)
W oprogramowaniu GREENmod wykryto podatność typu Server-Side Request Forgery (SSRF) (CVE-2026-5131).
W projekcie MCPHub wykryto podatność typu Authorization Bypass (CVE-2025-13822).
W oprogramowaniu Hydrosystem Control System wykryto 3 podatności różnego typu (CVE-2026-4901, CVE-2026-34184, CVE-2026-34185)
Za nami kolejny rok działania zespołu CERT Polska. Był on wyjątkowy, ponieważ wieńczył trzecią dekadę naszej działalności – świętujemy właśnie 30. urodziny! Rok 2025 to czas pełen wyzwań, rozwoju i kształtowania cyberbezpieczeństwa w kompleksowy sposób – od...
W oprogramowaniu Mlflow wykryto 2 podatności różnego typu (CVE-2026-33865, CVE-2026-33866)
W oprogramowaniu Bludit wykryto podatność typu Stored Cross-site Scripting (CVE-2026-4420).
CERT Polska przeanalizował wieloetapowy łańcuch złośliwego oprogramowania na Androida, dystrybuowany z wykorzystaniem infrastruktury podszywającej się pod Booking. Opisana próbka pełni rolę droppera, który instaluje RAT oparty na usługach ułatwień dostępu i...
W oprogramowaniu Szafir wykryto 2 podatności różnego typu (CVE-2026-26927, CVE-2026-26928)
CERT Polska przeanalizował próbkę szkodliwego oprogramowania wykorzystującego wizerunek banku SGB, pochodzącą z kampanii FvncBot wycelowanej w polskich odbiorców. Złośliwa aplikacja instaluje dodatkowe moduły, przekonuje ofiarę do uruchomienia funkcji ułatw...
W oprogramowaniu Robolinho Update Software wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-1612).
W oprogramowaniu Bludit wykryto 3 podatności różnego typu (od CVE-2026-25099 do CVE-2026-25101)
W oprogramowaniu KlinikaXP i KlinikaXP Insertino wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-1958).
W oprogramowaniu Befree SDK wykryto podatność typu Cross-site Scripting (CVE-2025-12518).
W oprogramowaniu Raytha wykryto 11 podatności różnego typu (CVE-2025-15540 oraz od CVE-2025-69236 do CVE-2025-69243 oraz od CVE-2025-69245 do CVE-2025-69246)
CERT Polska otrzymał zgłoszenia dotyczące 2 podatności (CVE-2025-11500 oraz CVE-2025-15587) wykrytych w wielu urządzeniach tinycontrol (tcPDU oraz LAN Controllers: LK3.5, LK3.9 i LK4).
W oprogramowaniu Streamsoft Prestiż wykryto podatność polegającą na słabym kodowaniu tokenów (CVE-2026-0809).
Zespół CERT Polska świętuje 30-lecie swojej działalności. Przez trzy dekady zmieniło się niemal wszystko. Internet, z którego w latach 90. korzystała niewielka grupa użytkowników, dziś jest podstawową przestrzenią, dzięki której funkcjonuje wiele aspektów n...
W oprogramowaniu Coppermine Photo Gallery wykryto podatność typu Path Traversal (CVE-2026-3013).
W oprogramowaniu QuickCMS wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2026-1468).
W oprogramowaniu DobryCMS wykryto 2 podatności różnego typu (CVE-2025-12462 oraz CVE-2025-14532)
W oprogramowaniu CGM CLININET oraz CGM NETRAAD wykryto 8 podatności różnego typu.
W oprogramowaniu Pro3W CMS wykryto podatność typu SQL Injection (CVE-2025-15498).
W oprogramowaniu PluXml CMS wykryto 3 podatności różnego typu (od CVE-2026-24350 do CVE-2026-24352)
W oprogramowaniu Omega-PSIR wykryto podatność typu Cross-site Scripting (CVE-2026-1434).
W oprogramowaniu Simple.ERP wykryto podatność typu SQL Injection (CVE-2026-1198).
W wielu programach Finka wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-13776).
W wielu urządzeniach firmy Slican wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-14577).
Pomogliśmy dużej organizacji w analizie infekcji malware spowodowanej przez Fake CAPTCHA. W tym raporcie podsumowujemy nasze obserwacje oraz publikujemy szczegółową analizę znalezionego złośliwego oprogramowania.
Ponad pół miliona podatności udało się znaleźć dzięki udostępnieniu serwisu moje.cert.pl. To darmowe narzędzie, z którego korzysta już niemal 16 tysięcy użytkowników. To też ponad 19 tysięcy stron, które należą do instytucji, firm i osób prywatnych, których...
W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2026-23796 i CVE-2026-23797)
W aplikacji mObywatel na system iOS wykryto podatność sktutkującą ujawnieniem danych osobowych nieuwierzytelnionemu atakującemu (CVE-2025-11598).
W oprogramowaniu EAP Legislator wykryto podatność pozwalającą na rozpakowanie archiwum plików poza katalogiem docelowym (CVE-2026-1186).
Zespół CERT Polska przedstawia raport z analizy incydentu w sektorze energii, do którego doszło 29 grudnia 2025 roku. Ataki miały charakter destrukcyjny i były wymierzone w farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz przedsiębiorstwo z sekt...
W oprogramowaniu routera LV-WR21Q wykryto 2 podatności różnego typu (CVE-2025-12386 oraz CVE-2025-12387)
W aplikacji Inkscape na system MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-15523).
W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2025-67683 oraz CVE-2025-67684)
W aplikacji mobilnej Crazy Bubble Tea wykryto możliwość uzyskania danych osobowych innych użytkowników (CVE-2025-14317).
W oprogramowaniu Ysoft SafeQ 6 wykryto podatność polegająca na nieskutecznym maskowaniu hasła (CVE-2025-13175).
W oprogramowaniu kamery Vivotek IP7137 wykryto 4 podatności różnego typu (od CVE-2025-66049 do CVE-2025-66052)
W oprogramowaniu routerów KAON CG3000T oraz CG3000TC wykryto zaszyte poświadczenia umożliwiające zdalne przejęcie urządzenia (CVE-2025-7072).
Możliwość nieautoryzowanego dostępu do dokumentacji medycznej została wykryta w oprogramowaniu Asseco AMDX (CVE-2025-4596).