CERT Polska

1. CERT Polska ma 30 lat

   Zespół CERT Polska świętuje 30-lecie swojej działalności. Przez trzy dekady zmieniło się niemal wszystko. Internet, z którego w latach 90. korzystała niewielka grupa użytkowników, dziś jest podstawową przestrzenią, dzięki której funkcjonuje wiele aspektów naszego życia. Wraz z jego rozwojem pojawiają się jednak nowe zagrożenia, co jeszcze lepiej pokazuje dlaczego potrzebujemy zespołów takich jak nasz.

2. Podatność w oprogramowaniu Coppermine Photo Gallery

   W oprogramowaniu Coppermine Photo Gallery wykryto podatność typu Path Traversal (CVE-2026-3013).

3. Podatność w oprogramowaniu QuickCMS

   W oprogramowaniu QuickCMS wykryto podatność typu Cross-Site Request Forgery (CSRF) (CVE-2026-1468).

4. Podatności w oprogramowaniu DobryCMS

   W oprogramowaniu DobryCMS wykryto 2 podatności różnego typu (CVE-2025-12462 oraz CVE-2025-14532)

5. Podatności w oprogramowaniu CGM CLININET oraz CGM NETRAAD

   W oprogramowaniu CGM CLININET oraz CGM NETRAAD wykryto 8 podatności różnego typu.

6. Podatność w oprogramowaniu Pro3W CMS

   W oprogramowaniu Pro3W CMS wykryto podatność typu SQL Injection (CVE-2025-15498).

7. Podatności w oprogramowaniu PluXml CMS

   W oprogramowaniu PluXml CMS wykryto 3 podatności różnego typu (od CVE-2026-24350 do CVE-2026-24352)

8. Podatność w oprogramowaniu Omega-PSIR

   W oprogramowaniu Omega-PSIR wykryto podatność typu Cross-site Scripting (CVE-2026-1434).

9. Podatność w oprogramowaniu Simple.ERP

   W oprogramowaniu Simple.ERP wykryto podatność typu SQL Injection (CVE-2026-1198).

10. Podatność w wielu programach Finka

    W wielu programach Finka wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-13776).

11. Podatność w wielu urządzeniach Slican

    W wielu urządzeniach firmy Slican wykryto podatność typu Missing Authentication for Critical Function (CVE-2025-14577).

12. ClickFix w akcji: jak fake captcha może zaszyfrować całą firmę

    Pomogliśmy dużej organizacji w analizie infekcji malware spowodowanej przez Fake CAPTCHA. W tym raporcie podsumowujemy nasze obserwacje oraz publikujemy szczegółową analizę znalezionego złośliwego oprogramowania.

13. Rok moje.cert.pl i nowe narzędzie – infrastruktura organizacji

    Ponad pół miliona podatności udało się znaleźć dzięki udostępnieniu serwisu moje.cert.pl. To darmowe narzędzie, z którego korzysta już niemal 16 tysięcy użytkowników. To też ponad 19 tysięcy stron, które należą do instytucji, firm i osób prywatnych, których administratorzy podjęli działania na rzecz bezpieczeństwa swojego, a nierzadko także swoich klientów.

14. Podatności w oprogramowaniu Quick.Cart

    W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2026-23796 i CVE-2026-23797)

15. Podatność w aplikacji mObywatel na iOS

    W aplikacji mObywatel na system iOS wykryto podatność sktutkującą ujawnieniem danych osobowych nieuwierzytelnionemu atakującemu (CVE-2025-11598).

16. Podatność w oprogramowaniu EAP Legislator

    W oprogramowaniu EAP Legislator wykryto podatność pozwalającą na rozpakowanie archiwum plików poza katalogiem docelowym (CVE-2026-1186).

17. Raport z incydentu w sektorze energii z 29 grudnia 2025 roku

    Zespół CERT Polska przedstawia raport z analizy incydentu w sektorze energii, do którego doszło 29 grudnia 2025 roku. Ataki miały charakter destrukcyjny i były wymierzone w farmy wiatrowe i fotowoltaiczne, dużą elektrociepłownię oraz przedsiębiorstwo z sektora produkcyjnego. Publikacja ma na celu podniesienie świadomości na temat ryzyka związanego z dywersją w cyberprzestrzeni.

18. Podatności w oprogramowaniu routera LV-WR21Q

    W oprogramowaniu routera LV-WR21Q wykryto 2 podatności różnego typu (CVE-2025-12386 oraz CVE-2025-12387)

19. Podatność TCC Bypass w aplikacji Inkscape na MacOS

    W aplikacji Inkscape na system MacOS wykryto podatność umożliwiającą atak typu TCC Bypass (CVE-2025-15523).

20. Podatności w oprogramowaniu Quick.Cart

    W oprogramowaniu Quick.Cart wykryto 2 podatności różnego typu (CVE-2025-67683 oraz CVE-2025-67684)