CERT Polska

1. Podatności w oprogramowaniu ATutor

   W oprogramowaniu ATutor wykryto 2 podatności typu Cross-site Scripting (CVE-2026-6909 oraz CVE-2026-6956)

2. Podatność w oprogramowaniu układowym bramek Modbus GW1101-1D(RS-485)-TB-P

   W oprogramowaniu układowym bramek Modbus 3onedata GW1101-1D(RS-485)-TB-P wykryto podatność typu OS Command Injection (CVE-2025-13605).

3. Podatność w oprogramowaniu LEX Baza Dokumentów

   W oprogramowaniu LEX Baza Dokumentów wykryto podatność typu Cross-site Scripting (CVE-2026-1493).

4. Podatności w oprogramowaniu Ollama

   W oprogramowaniu Ollama wykryto 2 podatności prowadzące do zdalnego wykonania kodu (CVE-2026-42248, CVE-2026-42249)

5. Podatności w oprogramowaniu mpGabinet

   W oprogramowaniu mpGabinet wykryto 3 podatności różnego typu (od CVE-2026-40550 do CVE-2026-40552)

6. Podatność w oprogramowaniu AdaptiveGRC

   W oprogramowaniu AdaptiveGRC wykryto podatność typu Cross-site Scripting (CVE-2026-4313).

7. Podatność w oprogramowaniu GNU sed

   W oprogramowaniu GNU sed wykryto podatność typu Time-of-check Time-of-use (TOCTOU) Race Condition (CVE-2026-5958).

8. Podatność w oprogramowaniu Fudo Enterprise

   W oprogramowaniu Fudo Enterprise wykryto podatność typu Incorrect Authorization (CVE-2025-13480).

9. Podatności w oprogramowaniu PAC4J

   W oprogramowaniu PAC4J wykryto 2 podatności różnego typu (CVE-2026-40458, CVE-2026-40459)

10. Podatność w oprogramowaniu GREENmod

    W oprogramowaniu GREENmod wykryto podatność typu Server-Side Request Forgery (SSRF) (CVE-2026-5131).

11. Podatność w oprogramowaniu MCPHub

    W projekcie MCPHub wykryto podatność typu Authorization Bypass (CVE-2025-13822).

12. Podatności w oprogramowaniu Hydrosystem Control System

    W oprogramowaniu Hydrosystem Control System wykryto 3 podatności różnego typu (CVE-2026-4901, CVE-2026-34184, CVE-2026-34185)

13. Raport roczny z działalności CERT Polska w 2025 roku

    Za nami kolejny rok działania zespołu CERT Polska. Był on wyjątkowy, ponieważ wieńczył trzecią dekadę naszej działalności – świętujemy właśnie 30. urodziny! Rok 2025 to czas pełen wyzwań, rozwoju i kształtowania cyberbezpieczeństwa w kompleksowy sposób – od proaktywnych działań na rzecz wykrywania zagrożeń, poprzez obsługę zgłoszeń i reagowanie na incydenty aż po dzielenie się wiedzą i budowanie świadomości społecznej.

14. Podatności w oprogramowaniu Mlflow

    W oprogramowaniu Mlflow wykryto 2 podatności różnego typu (CVE-2026-33865, CVE-2026-33866)

15. Podatność w oprogramowaniu Bludit

    W oprogramowaniu Bludit wykryto podatność typu Stored Cross-site Scripting (CVE-2026-4420).

16. Analiza cifrat: czy to ewolucja mobilnego RATa?

    CERT Polska przeanalizował wieloetapowy łańcuch złośliwego oprogramowania na Androida, dystrybuowany z wykorzystaniem infrastruktury podszywającej się pod Booking. Opisana próbka pełni rolę droppera, który instaluje RAT oparty na usługach ułatwień dostępu i komunikujący się z serwerem C2 przez WebSocket.

17. Podatności w oprogramowaniu Szafir

    W oprogramowaniu Szafir wykryto 2 podatności różnego typu (CVE-2026-26927, CVE-2026-26928)

18. Analiza kampanii FvncBot

    CERT Polska przeanalizował próbkę szkodliwego oprogramowania wykorzystującego wizerunek banku SGB, pochodzącą z kampanii FvncBot wycelowanej w polskich odbiorców. Złośliwa aplikacja instaluje dodatkowe moduły, przekonuje ofiarę do uruchomienia funkcji ułatwień dostępu, a następnie łączy zainfekowane urządzenie z serwerem wydającym przypisane do tego urządzenia dane logowania.

19. Podatność w oprogramowaniu Robolinho Update Software

    W oprogramowaniu Robolinho Update Software wykryto podatność typu Use of Hard-coded Credentials (CVE-2026-1612).

20. Podatności w oprogramowaniu Bludit

    W oprogramowaniu Bludit wykryto 3 podatności różnego typu (od CVE-2026-25099 do CVE-2026-25101)