W oprogramowaniu FARA firmy SIGNUM-NET wykryto podatność typu Use of Hard-coded Credentials (CVE-2025-4049).
W aplikacjach preinstalowanych na telefonach Bluebird wykryto 3 podatności typu "Improper Export of Android Application Components" (od CVE-2025-5344 do CVE-2025-5346).
W oprogramowaniu SUR-FBD CMMS wykryto podatność typu Use of Hard-coded Password (CVE-2025-3920).
W dwóch aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Phoneix Code (CVE-2025-5255), Postbox (CVE-2025-5963).
CERT Polska obserwuje złośliwą kampanię e-mail prowadzoną przez grupę UNC1151 przeciwko polskim podmiotom z wykorzystaniem podatności w oprogramowaniu Roundcube.
W oprogramowaniu 2ClickPortal firmy Trol InterMedia wykryto podatność typu SQL Injection (CVE-2025-4568).
W aplikacjach preinstalowanych na telefonach Ulefone oraz Krüger&Matz wykryto 3 podatności różnego typu (od CVE-2024-13915 do CVE-2024-13917).
W trzech aplikacjach na systemy macOS została wykryta podatność typu TCC Bypass: Poedit (CVE-2025-4280), Viscosity (CVE-2025-4412), DaVinci Resolve (CVE-2025-4081)
W oprogramowaniu hackney wykryto nieprawidłowe zachowanie prowadzące do wyczerpania puli połączeń (CVE-2025-3864).
W oprogramowaniu kart hotelowych Be-Tech Mifare Classic wykryto podatność typu Cleartext Storage of Sensitive Information (CVE-2025-4053).
W oprogramowaniu Studio Fabryka DobryCMS wykryto podatność typu Cross-site Scripting (XSS) (CVE-2025-4379).
W oprogramowaniu MegaBIP wykryto 3 podatności różnego typu (od CVE-2025-3893 do CVE-2025-3895).
Na początku roku uruchomiliśmy serwis moje.cert.pl, podnoszący i rozwijający cyberbezpieczeństwo dzięki szeregowi usług i narzędzi. Od startu w serwisie zarejestrowało się ponad 11 tysięcy użytkowników. To dla nich włączamy dziś nową funkcję – komunikaty o zagrożeniach.
W oprogramowaniu Proget wykryto 7 podatności różnego typu (od CVE-2025-1415 do CVE-2025-1421).
W oprogramowaniu EZD RP wykryto podatność typu Missing Authorization (CVE-2025-4430).
W oprogramowaniu Netis Systems WF2220 wykryto 2 podatności różnego typu (CVE-2025-3758 oraz CVE-2025-3759).
W oprogramowaniu Symfonia Ready_ wykryto 4 podatności różnego typu (od CVE-2025-1980 do CVE-2025-1983).
W module Internet Starter oprogramowania SoftCOM iKSORIS wykryto 11 podatności różnego typu.
Za nami kolejny rok działania zespołu CERT Polska. Rok absolutnie rekordowy, jeśli weźmiemy pod uwagę praktycznie wszystkie statystyki przytaczane w naszych dotychczasowych raportach. Za tymi liczbami stoi codzienna praca ekspertów, którzy każdego dnia dbają o bezpieczeństwo Polaków w sieci. O tej pracy, kluczowych wyzwaniach, z którymi się mierzymy, oraz o analizowanych zagrożeniach jest tegoroczny raport.
Krajobraz zagrożeń występujących w polskiej cyberprzestrzeni ulega ewolucji. Z jednej strony obserwujemy dobrze znane z ostatnich lat kampanie phishingowe, których celem jest wyłudzenie loginów i haseł do popularnych usług e-mail lub serwisów społecznościowych, czy strony z fałszywymi ogłoszeniami imitujące serwisy, takie jak OLX bądź Allegro. Z drugiej strony pojawiają się nowe, interesujące z punktu widzenia cyberbezpieczeństwa kampanie.