CERT Polska

1. Raport z incydentu w sektorze energii z 29 grudnia 2025 roku

   Zespół CERT Polska przedstawia raport z analizy incydentu w sektorze energii, do którego doszło 29 grudnia 2025 roku. Ataki miały charakter destrukcyjny i były wymierzone w farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz przedsiębiorstwo z sektora produkcyjnego. Publikacja ma na celu podniesienie świadomości na temat ryzyka związanego z dywersją w cyberprzestrzeni.

2. Podatności w oprogramowaniu routera LV-WR21Q

   W oprogramowaniu routera LV-WR21Q wykryto 2 podatności różnego typu (CVE-2025-12386 oraz CVE-2025-12387)

3. Podatność TCC Bypass w aplikacji Inkscape na MacOS

   W aplikacji Inkscape na system MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-15523).

4. Podatności w oprogramowaniu Quick.Cart

   W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2025-67683 oraz CVE-2025-67684)

5. Podatność w aplikacji mobilnej Crazy Bubble Tea

   W aplikacji mobilnej Crazy Bubble Tea wykryto możliwość uzyskania danych osobowych innych użytkowników (CVE-2025-14317).

6. Podatność w oprogramowaniu Ysoft SafeQ 6

   W oprogramowaniu Ysoft SafeQ 6 wykryto podatność polegająca na nieskutecznym maskowaniu hasła (CVE-2025-13175).

7. Podatności w oprogramowaniu kamery Vivotek IP7137

   W oprogramowaniu kamery Vivotek IP7137 wykryto 4 podatności różnego typu (od CVE-2025-66049 do CVE-2025-66052)

8. Podatność w oprogramowaniu routerów KAON CG3000T/CG3000TC

   W oprogramowaniu routerów KAON CG3000T oraz CG3000TC wykryto zaszyte poświadczenia umożliwiające zdalne przejęcie urządzenia (CVE-2025-7072).

9. Podatność w oprogramowaniu Asseco AMDX

   Możliwość nieautoryzowanego dostępu do dokumentacji medycznej została wykryta w oprogramowaniu Asseco AMDX (CVE-2025-4596).

10. Podatności w oprogramowaniu Asseco InfoMedica Plus

    W oprogramowaniu Asseco InfoMedica Plus wykryto 2 podatności różnego typu (CVE-2025-8306 oraz CVE-2025-8307).

11. Podatność w oprogramowaniu Kieback&Peter Neutrino-GLT

    W oprogramowaniu Kieback&Peter Neutrino-GLT wykryto podatność umożliwiająca wstrzyknięcie komend (CVE-2025-6225).

12. Podatności w oprogramowaniu routera WODESYS WD-R608U

    W oprogramowaniu routera WODESYS WD-R608U wykryto 5 podatności różnego typu (od CVE-2025-65007 do CVE-2025-65011)

13. Podatność w oprogramowaniu urządzeń Govee z łącznością sieciową

    W oprogramowaniu urządzeń Govee z łącznością sieciową wykryto podatność umożliwiającą przejęcie sterowania nad cudzymi urządzeniami (CVE-2025-10910).

14. Podatności w oprogramowaniu WaveStore Server

    W oprogramowaniu WaveStore Server wykryto 3 podatności typu Path Traversal (od CVE-2025-65074 do CVE-2025-65076)

15. Publiczne sieci Wi-Fi – czy jest się czego bać?

    Jak to jest z tym publicznym Wi-Fi? W internecie wciąż możecie trafić na informacje, że korzystanie z takiej otwartej sieci w kawiarni, hotelu lub na lotnisku, to proszenie się o kłopoty, bo hakerzy mogą w ten sposób wykraść hasła i dane. I owszem tak BYŁO. Sprawdźmy dlaczego publiczne sieci nie niosą już dziś takich zagrożeń.

16. Podatność w oprogramowaniu OpenSolution QuickCMS

    W oprogramowaniu OpenSolution QuickCMSwykryto podatność typu SQL Injection (CVE-2025-12465).

17. Podatność w oprogramowaniu Simple SA Wirtualna Uczelnia

    W oprogramowaniu Wirtualna Uczelnia wykryto podatność umożliwiającą zdalne wykonanie kodu przez atakującego (CVE-2025-12140).

18. Podatność w oprogramowaniu routerów SDMC NE6037

    W oprogramowaniu routerów SDMC NE6037 wykryto podatność pozwalającą na wstrzyknięcia komend powłoki (CVE-2025-8890).

19. Podatności w oprogramowaniu SOPlanning

    W oprogramowaniu SOPlanning wykryto 8 podatności różnego typu (od CVE-2025-62293 do CVE-2025-62297 oraz od CVE-2025-62729 do CVE-2025-62731)

20. Podatność w oprogramowaniu Times Software E-Payroll

    W oprogramowaniu Times Software E-Payroll wykryto nieprawidłowe neutralizowanie danych wejściowych skutkujące możliwością wykonania ataku DoS oraz (prawdopodobnie) SQL Injection (CVE-2025-9977).