[65/2025] Krytyczna podatność CVE-2025-20393 w oprogramowaniu Cisco AsyncOS Software
Zespół CERT Polska informuje o krytycznej podatności CVE-2025-20393 dotyczącej oprogramowania Cisco. Podatność jest wykorzystywana w atakach.
Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne wykonywanie kodu poprzez lukę w oprogramowaniu Cisco AsyncOS Software wykorzystywanym w Cisco Secure Email Gateway oraz Cisco Secure Email and Web Manager, a w efekcie przejęcie urządzenia. Atakujący wykorzystuje usługę Spam Quarantine, która domyślnie jest wyłączona i przy prawidłowej konfiguracji nie powinna być dostępna z internetu.
Usługę Spam Quarantine oraz jej status można sprawdzić w panelu administracyjnym w zakładce "IP Interfaces". W przypadku konfiguracji zawierającej włączoną usługę oraz udostępnienie powiązanych z nią portów do internetu zaleca się niezwłoczne przywrócenie urządzenia do ustawień fabrycznych i ponowną konfigurację środowiska. Rekomendujemy też weryfikację infrastruktury pod kątem IoC wskazanych na blogu Cisco Talos.
Więcej informacji na temat podatności można znaleźć na stronie producenta.
W przypadku wykrycia kompromitacji urządzenia zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie https://incydent.cert.pl
Powiadomienie wygasło: 16 lutego 2026 13:27
[64/2025] Podatności w oprogramowaniu FortiOS, FortiProxy, FortiWeb i FortiSwitchManager.
Zespół CERT Polska informuje o aktywnie wykorzystywanych podatnościach CVE-2025-59718 oraz CVE-2025-59719 dotyczących oprogramowania FortiOS, FortiProxy, FortiWeb i FortiSwitchManager.
Podatności umożliwiają ominięcie uwierzytelniania przy włączonym logowaniu FortiCloud SSO poprzez wysłanie spreparowanej wiadomości SAML. Domyślnie funkcja FortiCloud SSO jest wyłączona. Jeśli jednak administrator zarejestruje urządzenie w FortiCare z poziomu GUI, logowanie FortiCloud SSO zostanie automatycznie włączone, chyba że podczas rejestracji odznaczy opcję „Allow administrative login using FortiCloud SSO”.
Informacje dotyczące podatnych wersji oraz dostępnych aktualizacji znajdują się na stronie producenta https://fortiguard.fortinet.com/psirt/FG-IR-25-647
Rekomendacje CERT Polska:
Niezwłoczna aktualizacja oprogramowania do najwyższej dostępnej wersji.
Weryfikacja aktywności logowań użytkowników oraz przeprowadzenie audytu istniejących kont.
W przypadku niewykorzystywania logowania SSO zaleca się jego wyłączenie. Można to zrobić zarówno z poziomu GUI, jak i poleceniem w terminalu:
config system global
set admin-forticloud-sso-login disable
end
W przypadku wykrycia kompromitacji urządzenia zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie https://incydent.cert.pl
Więcej informacji o podatności, przykładowych logach z jej wykorzystania oraz niektórych adresach IP używanych przez atakujących można znaleźć na stronie: https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-sso-logins-following-disclosure-cve-2025-59718-cve-2025-59719/
Powiadomienie wygasło: 15 lutego 2026 13:18
[63/2025] Raport miesięczny za listopad 2025
Publikujemy wydanie raportu miesięcznego o stanie cyberbezpieczeństwa w Polsce w listopadzie 2025 roku.
📌 Raport za listopad 2025 jest dostępny pod tym linkiem – https://cert.pl/uploads/docs/Podsumowanie_CSIRT_NASK_2025_11.pdf
W każdym wydaniu raportu miesięcznego znajdziesz:
najnowsze statystyki incydentów,
opisy aktualnych kampanii i technik ataków,
działania zespołu na rzecz edukacji i współpracy,
rekomendacje, jak chronić siebie i swoje systemy.
Powiadomienie wygasło: 14 lutego 2026 20:34
[62/2025] 🎵 Problemy z płatnością za muzykę? Coś tu nie gra!
✉️ Obserwujemy kampanię phishingową, w której przestępcy podszywają się pod jeden z popularnych serwisów do streamingu muzyki.
💳 W wiadomości mailowej informują o rzekomej konieczności aktualizacji metody płatności.
🔗 Link zawarty w wiadomości prowadzi do fałszywej strony internetowej, która imituje panel logowania do serwisu. Pozyskane dane przestępcy mogą wykorzystać do przejęcia konta.
🔒 Pamiętaj, żeby używać unikalnych haseł do różnych usług, a tam gdzie to możliwe ustaw także dwuetapową weryfikację.
⚠️ Podejrzane wiadomości zgłaszaj przez formularz: https://incydent.cert.pl
✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 7 lutego 2026 12:39
[61/2025] Krytyczna podatność w React Server Components oraz innych aplikacjach z tym rozwiązaniem
Zespół CERT Polska informuje o krytycznej podatności CVE-2025-55182 umożliwiającej zdalne wykonanie kodu w React Server Components (RSC) oraz innych aplikacjach korzystających z RSC, np. Next.js.
Podatność polega na wysłaniu odpowiednio spreparowanego zapytania HTTP, które umożliwi wykonanie dowolnego kodu na serwerze. Wykorzystanie podatności jest trywialne i zostało publicznie opisane, co znacząco zwiększa ryzyko ataków.
Podatność CVE-2025-55182, dotycząca RSC, występuje w wersjach 19.0, 19.1.0, 19.1.1 oraz 19.2.0 następujących modułów:
react-server-dom-webpack,
react-server-dom-parcel,
react-server-dom-turbopack.
Według producenta - w przypadku braku implementacji funkcjonalności tych modułów, aplikacja i tak będzie podatna, ponieważ do wykorzystania luki wystarczy, że dany moduł jest zainstalowany.
Więcej informacji na temat tej podatności można znaleźć na stronie producenta https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Istnieją aplikacje, które do swojego działania wykorzystują lub pobierają podatne moduły. Wśród nich na ten moment można wymienić:
Next.js,
react-router,
waku,
@parcel/rsc,
@vitejs/plugin-rsc,
rwsdk.
Jeżeli korzystają Państwo z tych rozwiązań, lub innych, które wykorzystują podatne moduły, należy jak najszybciej przeprowadzić aktualizację oprogramowania do wersji, które nie zawierają podatności.
Powiadomienie wygasło: 2 lutego 2026 12:39
[60/2025] 📦 W okresie Black Friday oraz przedświątecznych zakupów wiele osób czeka na paczki.
Ten właśnie moment próbują wykorzystać cyberprzestępcy!
✉️ Obserwujemy kolejną kampanię phishingową, w której oszuści podszywają się pod firmę kurierską. Tym razem pod DHL, ale warto pamiętać, że zmiana logotypu czy nazwy to dla przestępców kwestia kilku chwil - podobne ataki mogą wykorzystywać logo dowolnej firmy. W wiadomościach e-mail przestępcy informują o rzekomej konieczności przejścia przez odprawę celną i uiszczenia niewielkiej opłaty, aby przesyłka mogła zostać dostarczona.
🔗 Po kliknięciu w link ofiara trafia na fałszywy formularz, który służy do wyłudzenia danych karty płatniczej. Przestępcy mogą następnie dokonywać nieautoryzowanych transakcji na rachunkach poszkodowanych.
⚠️ Podejrzane wiadomości zgłaszaj przez formularz: https://incydent.cert.pl
✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 1 lutego 2026 16:00
[59/2025] Nowa odsłona kampanii phishingowej podszywającej się pod serwisy w domenie gov.pl
Obserwujemy nową odsłonę kampanii phishingowej, w której przestępcy podszywają się pod serwisy w domenie gov.pl.
Oszuści rozsyłają wiadomości w wielu wariantach, m. in.:
- informacje o oficjalnym powiadomieniu elektronicznym od gov.pl,
- nowej aktywności w serwisie gov.pl,
- utworzeniu nowej sesji na urządzeniu mobilnym.
📞 W wiadomościach zachęcają do kontaktu telefonicznego pod wskazany numer. Po wykonaniu połączenia przestępcy próbują nakłonić do zainstalowania oprogramowania dającego im zdalny dostęp do komputera.
W efekcie atakujący dokonują nieautoryzowanych przelewów na swoje konta a ofiary mogą stracić środki.
⚠️ Podejrzane wiadomości zgłaszaj przez formularz: https://incydent.cert.pl/
✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 26 stycznia 2026 11:42
[58/2025] Podatność w oprogramowaniu Grafana Enterprise i Grafana Cloud
Zespół CERT Polska informuje o podatności w oprogramowaniu Grafana Enterprise i Grafana Cloud: CVE-2025-41115.
W oprogramowaniu Grafana Enterprise oraz Grafana Cloud występuje podatność umożliwiająca podszycie się pod istniejące konto (w tym konto administratora) poprzez wykorzystanie protokołu SCIM. Podatność występuje jedynie w konfiguracjach, w których flaga enableSCIM ma ustawioną wartość TRUE, oraz opcja user_sync_enabled w bloku auth.scim jest ustawiona na TRUE.
W celu uzyskania informacji o wersjach oprogramowania, w których podatności zostały usunięte, zalecamy śledzić komunikaty producenta.
Zespół CERT Polska rekomenduje niezwłoczną weryfikację swojej konfiguracji. Domyślne ustawienia systemu nie są podatne. W przypadku wykrycia kompromitacji systemu zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie incydent.cert.pl
Więcej o podatności można przeczytać na stronie https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/
Powiadomienie wygasło: 21 stycznia 2026 19:18
[57/2025] Aktywnie wykorzystywana krytyczna podatność w urządzeniach Fortinet FortiWeb Manager
Zespół CERT Polska informuje o podatności CVE-2025-64446 w oprogramowaniu FortiWeb.
W oprogramowaniu Fortinet FortiWeb Manager występuje podatność umożliwiająca utworzenie nowego konta (w tym konta z uprawnieniami administratora) nieuwierzytelnionemu atakującemu poprzez wykonanie spreparowanego zapytania HTTP POST na odpowiednią ścieżkę: /api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi. Podatność jest aktywnie wykorzystywana przez atakujących i ma identyfikator CVE-2025-64446.
Wykorzystanie podatności wymaga włączonego dostępu do GUI panelu administratora za pomocą protokołu HTTP(S).
Informacje odnośnie podatnych wersji i dostępnych aktualizacji znajdują się na stronie producenta https://fortiguard.fortinet.com/psirt/FG-IR-25-910
Zespół CERT Polska rekomenduje niezwłoczną aktualizację oprogramowania do najwyższej możliwej wersji oraz weryfikację logów HTTP pod kątem zapytań do wskazanej ścieżki oraz istniejących kont użytkowników. W przypadku wykrycia kompromitacji urządzenia zalecamy niezwłoczny kontakt z naszym zespołem poprzez formularz na stronie incydent.cert.pl
Więcej o podatności można przeczytać na stronie https://www.rapid7.com/blog/post/etr-critical-vulnerability-in-fortinet-fortiweb-exploited-in-the-wild/ .
Powiadomienie wygasło: 13 stycznia 2026 14:31
[56/2025] 💊 Zwrot kosztów leków? Nie daj się nabrać!
⚕️ Obserwujemy kampanię oszustw, w której oszuści podszywają się pod NFZ.
✉️ Adresaci wiadomości, pod pozorem odebrania zwrotu za zakupione leki, są zachęcani do odwiedzenia strony, która w rzeczywistości jest stroną phishingową wyłudzającą dane użytkowników.
⌛ Ponadto oszuści w celu uskutecznienia oszustwa informują o krótkim terminie odebrania wniosku, tak aby ofiary miały mniej czasu, aby zorientować się, że podana wiadomość jest fałszywa.
⚠️ Pamiętaj żeby zgłaszać podejrzane wiadomości za pomocą formularza na stronie http://incydent.cert.pl ✅ Chronisz w ten sposób siebie i innych!
Załączone obrazy
Powiadomienie wygasło: 13 stycznia 2026 11:00