Podatności i biuletyny

Firma Siemens informuje o nowych podatnościach w swoich produktach oraz aktualizuje starsze biuletyny (P25-440)

Firma Siemens informuje o nowych podatnościach w s...

1 tydzień temu 9 grudnia 2025 r. firma Siemens opublikowała ostrzeżenia mające na celu usunięcie luk w zabezpieczeniach wielu produktów. Uwzględniono aktualizacje dla następujących produktów: ID CVSS Opis SSA-915282 7.5 Denial of service […].
Grudniowy Wtorek Microsoftu 2025. (P25-439)

Grudniowy Wtorek Microsoftu 2025. (P25-439)

1 tydzień temu Grudniowy wtorek poprawek firmy Microsoft z 2025 r. naprawia 57 luk, w tym jedną aktywnie wykorzystywaną i dwie publicznie ujawnione luki typu zero-day. CVE-2025-62221 – Luka w zabezpieczeniach sterownika filtra […].
Firma SAP publikuje aktualizacje bezpieczeństwa 12/2025 (P25-438)

Firma SAP publikuje aktualizacje bezpieczeństwa 12...

1 tydzień temu 9 grudnia 2025 r. firma SAP opublikowała ostrzeżenia dotyczące bezpieczeństwa, mające na celu usunięcie luk w zabezpieczeniach wielu produktów. Wprowadzono aktualizacje dla następujących produktów: Link Opis Krytyczność CVSS 3668705 [CVE-2025-42887] ...
Fortinet łata krytyczne luki „FortiCloud SSO login auth bypass” (CVE-2025-59718, CVE-2025-59719). Co musisz zrobić teraz

Fortinet łata krytyczne luki „FortiCloud SSO login...

1 tydzień temu Wprowadzenie do problemu / definicja luki Fortinet opublikował poprawki dla dwóch krytycznych podatności, które umożliwiają ominięcie uwierzytelniania FortiCloud SSO w wielu produktach: FortiOS, FortiProxy, FortiSwitchManager (CVE-2025-59718) oraz Fo...
Ivanti łata krytyczną podatność RCE w Endpoint Manager (CVE-2025-10573). Co powinni zrobić administratorzy?

Ivanti łata krytyczną podatność RCE w Endpoint Man...

1 tydzień temu Wprowadzenie do problemu / definicja luki Ivanti poinformowało o krytycznej podatności w Endpoint Manager (EPM), oznaczonej jako CVE-2025-10573. Błąd klasy stored XSS pozwala nieuprzywilejowanemu atakującemu wstrzyknąć złośliwy JavaScript, który po w...
Adobe łata blisko 140 luk: krytyczne poprawki dla ColdFusion i AEM (grudzień 2025)

Adobe łata blisko 140 luk: krytyczne poprawki dla ...

1 tydzień temu Wprowadzenie do problemu / definicja luki 9 grudnia 2025 r. Adobe opublikowało zestaw aktualizacji bezpieczeństwa obejmujący prawie 140 podatności w kilku liniach produktów. Największy ciężar dotyczy Adobe Experience Manager (AEM), gdzie załatano 117...
Firefox 146 łata krytyczne luki: WebRTC UAF, sandbox escape w CanvasWebGL i obejście SOP (MFSA 2025-92)

Firefox 146 łata krytyczne luki: WebRTC UAF, sandb...

1 tydzień temu Wprowadzenie do problemu / definicja luki Mozilla opublikowała MFSA 2025-92, zestaw poprawek bezpieczeństwa dla Firefox 146, który zamyka m.in. use-after-free w WebRTC (CVE-2025-14321), ucieczkę z sandboxa w CanvasWebGL (CVE-2025-14322), eskalację up...
PowerShell w Windows ostrzega przy użyciu Invoke-WebRequest. Co to zmienia dla bezpieczeństwa i automatyzacji?

PowerShell w Windows ostrzega przy użyciu Invoke-W...

1 tydzień temu Wprowadzenie do problemu / definicja luki Microsoft dodał do Windows PowerShell 5.1 nowy mechanizm ostrzegania, który wyświetla potwierdzenie bezpieczeństwa podczas uruchamiania skryptów wykorzystujących Invoke-WebRequest (IWR) do pobierania treści W...
CISA dodaje dwie luki do katalogu KEV: Windows Cloud Files Mini Filter (CVE-2025-62221) i WinRAR Path Traversal (CVE-2025-6218)

CISA dodaje dwie luki do katalogu KEV: Windows Clo...

1 tydzień temu Wprowadzenie do problemu / definicja luk 9 grudnia 2025 r. CISA dodała dwie nowe pozycje do katalogu Known Exploited Vulnerabilities (KEV) na podstawie dowodów aktywnej eksploatacji w środowiskach produkcyjnych. Są to: w uproszczeniu Kontekst / histo...
SAP łata trzy krytyczne luki w wielu produktach (grudzień 2025)

SAP łata trzy krytyczne luki w wielu produktach (g...

1 tydzień temu Wprowadzenie do problemu / definicja luki 9 grudnia 2025 r. SAP opublikował biuletyn Security Patch Day z 14 nowymi notami bezpieczeństwa, w tym trzema lukami o randze „Critical”. Poprawki obejmują m.in. SAP Solution Manager, SAP Commerce Cloud (komp...
Microsoft łata 57 luk (w tym 3 zero-day). Co wiemy o grudniowym Patch Tuesday 2025?

Microsoft łata 57 luk (w tym 3 zero-day). Co wiemy...

1 tydzień temu Wprowadzenie do problemu / definicja luki Grudniowy Patch Tuesday (9 grudnia 2025) domyka rok paczką poprawek Microsoftu. Firma załatała 57 podatności, w tym trzy zero-day (jedna aktywnie wykorzystywana) — liczby te mogą się minimalnie różnić w zależ...
Podatność React2Shell wyróżniona przez CISA

Podatność React2Shell wyróżniona przez CISA

1 tydzień temu Kilka dni temu ujawniono poważną lukę w ekosystemie React Server Components (RSC). Otrzymała numer CVE-2025-55182 i nazwę React2Shell. Podatności tego typu umożliwiają zdalne wykonanie kodu (RCE) bez konieczności uwierzytelnienia. Lukę oznaczono maks...
Nowa rola ENISA w programie CVE

Nowa rola ENISA w programie CVE

1 tydzień temu Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) uzyskała status jednostki nadrzędnej (Root CNA) w programie Common Vulnerabilities and Exposures (CVE). Nowa rola Agencji nie tylko wzmacnia europejski system koordynacji i zarządzania podatno...
Krytyczna podatność w Apache Tika prowadzi do XXE — co trzeba załatać już dziś (CVE-2025-66516)

Krytyczna podatność w Apache Tika prowadzi do XXE ...

1 tydzień temu Wprowadzenie do problemu / definicja luki W Apache Tika ujawniono krytyczną podatność XXE (XML External Entity Injection) oznaczoną jako CVE-2025-66516 i ocenioną na CVSS 10.0. Błąd umożliwia atakującemu wstrzyknięcie zewnętrznych encji XML poprzez s...
React2Shell: krytyczna luka RCE w React Server Components (CVE-2025-55182) oraz duplikat w Next.js (CVE-2025-66478)

React2Shell: krytyczna luka RCE w React Server Com...

1 tydzień temu Wprowadzenie do problemu / definicja luki 3 grudnia 2025 r. zespół React ujawnił krytyczną podatność typu pre-auth RCE w protokole Flight dla React Server Components (RSC), śledzoną jako CVE-2025-55182 (CVSS 10.0). Dotyczy ona pakietu react-server i ...
Poważny problem w kosmosie. Statki NASA były podatne na ataki hakerów

Poważny problem w kosmosie. Statki NASA były podat...

1 tydzień temu NASA miała problem, który występował przez trzy lata i nikt o nim nie wiedział. Statki kosmiczne agencji były podatne na ataki hakerskie. Luka występowała w oprogramowaniu CryptoLib, które odpowiada za zabezpieczanie łączności NASA z urządzeniami age...
CISA ostrzega przed podatnością React2Shell

CISA ostrzega przed podatnością React2Shell

1 tydzień temu Opisywana podatność to RCE o maksymalnym CVSS 10.0, który pozwala na zdalne wykonanie kodu po wysłaniu jednego odpowiednio spreparowanego żądania HTTP.
Argus – nowoczesne narzędzie do hardeningu i testów bezpieczeństwa WordPress

Argus – nowoczesne narzędzie do hardeningu i testó...

1 tydzień temu Dwa tygodnie temu na GitHub’ie pojawiło się bardzo interesujące narzędzie Argus przeznaczone do weryfikacji zabezpieczeń witryn internetowych zbudowanych z wykorzystaniem najpopularniejszego systemu CMS – WordPress (obsługuje około 43% wszystkich wit...
Taką zmianę użytkownicy Windows 11 w końcu docenią

Taką zmianę użytkownicy Windows 11 w końcu docenią...

1 tydzień temu Microsoft udostępnił w kanałach Dev i Beta nową wersję Windows 11 22620.7344 (aktualizacja KB5070316), która dodaje szereg nowych funkcji oraz poprawek, w tym zmiany w sposobie aktualizowania aplikacji. Jednak interesującą nowością,...
Microsoft ukrywał lukę bezpieczeństwa Windows przez 8 lat. Twierdzą, iż to nic wielkiego

Microsoft ukrywał lukę bezpieczeństwa Windows prze...

1 tydzień temu Microsoft niespodziewanie wyeliminował lukę CVE-2025-9491, która od 2017 roku była narzędziem sieci szpiegowskich i grup cyberprzestępczych specjalizujących się w operacjach ukrytego dostępu. Poprawka została wprowadzona bez rozgłosu w...
Gdy antywirus zawodzi i umożliwia ucieczkę z piaskownicy oraz eskalację uprawnień do SYSTEM na Windows

Gdy antywirus zawodzi i umożliwia ucieczkę z piask...

1 tydzień temu Badacze z zespołu SAFA Team ujawnili poważne luki bezpieczeństwa w module piaskownicy Avast Antivirus, pozwalające na obejście izolacji i wykonanie kodu z uprawnieniami SYSTEM. Wektor ataku wynikał z błędów w sterowniku jądra aswSnx.sys, będącym kluc...
Pilna aktualizacja dla przeglądarki Google Chrome. Załatano 13 podatności, w tym 4 z kategorii High

Pilna aktualizacja dla przeglądarki Google Chrome....

1 tydzień temu 2 grudnia Google wydało 13 poprawek bezpieczeństwa do swojej przeglądarki Chrome, z czego cztery z nich zostały sklasyfikowane jako wysokiego ryzyka (High). W komunikacie została opublikowana pełna lista podatności. Poniżej przedstawiamy te z kategor...
BLIK znowu ma awarię

BLIK znowu ma awarię

1 tydzień temu Użytkownicy ponownie zgłaszają problemy z BLIKIEM. Serwis Downdetector pokazuje podwyższoną liczbę raportów dotyczących niedostępności usługi, a najczęściej wskazywane kategorie to płatności, przelewy oraz bankowość online. To kolejny taki incydent w...
React2Shell (CVE-2025-55182): krytyczne RCE w React Server Components już wykorzystywane. Jak się bronić?

React2Shell (CVE-2025-55182): krytyczne RCE w Reac...

1 tydzień temu Wprowadzenie do problemu / definicja luki React2Shell (CVE-2025-55182) to nieautoryzowane zdalne wykonanie kodu (RCE) w React Server Components (RSC), wynikające z błędnej deserializacji ładunków trafiających do endpointów Server Functions. Podatność...
Barts Health NHS ujawnia naruszenie danych po ataku z wykorzystaniem zero-day w Oracle E-Business Suite

Barts Health NHS ujawnia naruszenie danych po atak...

1 tydzień temu Wprowadzenie do problemu / definicja luki Barts Health NHS Trust (jeden z największych operatorów szpitali w Anglii) poinformował o kradzieży plików z bazy danych po ataku grupy Cl0p, która wykorzystała podatność typu zero-day w Oracle E-Business Sui...
Krytyczna podatność XXE w Apache Tika (CVE-2025-66516, CVSS 10.0) – co musisz załatać już teraz

Krytyczna podatność XXE w Apache Tika (CVE-2025-66...

1 tydzień temu Wprowadzenie do problemu / definicja luki W Apache Tika ujawniono krytyczną lukę typu XML External Entity (XXE) oznaczoną jako CVE-2025-66516 z oceną CVSS 10.0. Błąd pozwala na XXE poprzez spreparowany plik XFA osadzony w PDF, co dotyka kluczowych mo...
CISA dodaje krytyczną lukę „React2Shell” (CVE-2025-55182) do katalogu KEV — co to oznacza dla zespołów bezpieczeństwa

CISA dodaje krytyczną lukę „React2Shell” (CVE-2025...

1 tydzień temu Wprowadzenie do problemu / definicja luki CISA dodała do katalogu Known Exploited Vulnerabilities (KEV) jedną nową, aktywnie wykorzystywaną podatność: CVE-2025-55182, znaną jako „React2Shell”. To nieuwierzytelniona RCE (remote code execution) w mecha...
Cloudflare: globalna awaria spowodowana „React2Shell” — co poszło nie tak i co robić teraz

Cloudflare: globalna awaria spowodowana „React2She...

1 tydzień temu Wprowadzenie do problemu / definicja luki 5 grudnia 2025 r. Cloudflare doświadczył globalnej degradacji usług po wdrożeniu awaryjnych reguł WAF mających zablokować krytyczną lukę w React Server Components, znaną jako React2Shell (CVE-2025-55182). Błą...
Asystent.ai – publicznie dostępne API (użytkownicy / hashowane hasła / konwersacje z AI / pliki / …). Możliwe było pobranie danych zwykłą przeglądarką.

Asystent.ai – publicznie dostępne API (użytkownicy...

1 tydzień temu TLDR: Dostępne bez żadnego logowania API aplikacji asystent[.]ai / Minerva. Listowanie użytkowników, szczegóły użytkowników (w tym hashe haseł), pliki wysyłane przez użytkowników, konwersacje z AI. Aby zobaczyć te dane, wystarczyła zwykła przeglądark...
Cloudflare chciało ochronić swoich klientów przed krytyczną podatnością w React, ale przypadkiem na 25 minut zabiło znaczną część swojej infrastruktury

Cloudflare chciało ochronić swoich klientów przed ...

2 tygodni temu No więc cloudflare próbował zabezpieczyć internet przed atakami na krytyczną podatność w popularnym React (CVE-2025-55182). W wyniku tego dotknięte zostało ~28% globalnego ruchu HTTP chronionego przez Cloudflare. Innymi słowy dużo chronionych przez C...
Firma CODESYS informuje o nowych podatnościach. (P25-434)

Firma CODESYS informuje o nowych podatnościach. (P...

2 tygodni temu Firma CODESYS informuje o nowych podatnościach w swoich produktach.
Hakerzy wykorzystują nową lukę w ArrayOS AG VPN do podkładania webshelli — co muszą zrobić zespoły SOC

Hakerzy wykorzystują nową lukę w ArrayOS AG VPN do...

2 tygodni temu Wprowadzenie do problemu / definicja luki JPCERT/CC ostrzega, iż co najmniej od sierpnia 2025 r. aktywni napastnicy wykorzystują nienazwaną jeszcze (bez CVE) podatność typu command injection w Array AG Series (ArrayOS AG), aby instalować webshelle i ...
NCSC uruchamia pilotaż „Proactive Notifications”: automatyczne ostrzeżenia o lukach w urządzeniach wystawionych do Internetu

NCSC uruchamia pilotaż „Proactive Notifications”: ...

2 tygodni temu Wprowadzenie do problemu / definicja luki Brytyjskie National Cyber Security Centre (NCSC) rozpoczęło pilotaż nowej usługi Proactive Notifications. Celem jest proaktywne informowanie organizacji w UK o wykrytych lukach i błędnych konfiguracjach w sys...
Wielka awaria w internecie. Wiele niedostępnych stron

Wielka awaria w internecie. Wiele niedostępnych st...

2 tygodni temu Duża awaria w internecie. Wiele popularnych stron internetowych było niedostępnych. To znów problem z Cloudflare. Do gigantycznej awarii z tym związanej doszło w połowie listopada. Z usług Cloudflare korzysta około 20 proc. wszystkich stron interneto...
ICS-CERT informuje o nowych podatnościach w produktach firmy Johnson Controls. (P25-432)

ICS-CERT informuje o nowych podatnościach w produk...

2 tygodni temu ICS-CERT informuje o nowych podatnościach w produktach firmy Johnson Controls.
ICS-CERT informuje o nowych podatnościach w produktach firmy Advantech. (P25-431)

ICS-CERT informuje o nowych podatnościach w produk...

2 tygodni temu ICS-CERT informuje o nowych podatnościach w produktach firmy Advantech.
ICS-CERT informuje o nowych podatnościach w produktach firmy Mitsubishi Electric (P25-430)

ICS-CERT informuje o nowych podatnościach w produk...

2 tygodni temu ICS-CERT informuje o nowych podatnościach w produktach firmy Mitsubishi Electric.
Krytyczna podatność w bibliotece React.js. (P25-429)

Krytyczna podatność w bibliotece React.js. (P25-42...

2 tygodni temu Krytyczna podatność w React.js. na poziomie CVSS 10/10.
Krytyczna luka w React (CVE-2025-55182) i jej wpływ na Next.js (CVE-2025-66478): jak zareagować natychmiast

Krytyczna luka w React (CVE-2025-55182) i jej wpły...

2 tygodni temu Wprowadzenie do problemu / definicja luki Zespół React ujawnił krytyczną podatność CVE-2025-55182 w mechanizmie React Server Components (RSC). Luka umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia poprzez niebezpieczną deserializację ładunk...
Microsoft „po cichu” łagodzi zero-day w Windows (.LNK) aktywnie wykorzystywany przez APT i cyberprzestępców

Microsoft „po cichu” łagodzi zero-day w Windows (....

2 tygodni temu Wprowadzenie do problemu / definicja luki Microsoft w listopadowych aktualizacjach 2025 r. wprowadził ciche zmiany w sposobie wyświetlania adekwatności skrótów Windows (.LNK), co ogranicza skuteczność aktywnie wykorzystywanej luki CVE-2025-9491. Błąd...
Chrome 143 łata luki wysokiego ryzyka: co nowego i jak gwałtownie się zaktualizować

Chrome 143 łata luki wysokiego ryzyka: co nowego i...

2 tygodni temu Wprowadzenie do problemu / definicja luki Google udostępniło stabilną wersję Chrome 143 dla Windows, macOS i Linuksa, naprawiając 13 luk bezpieczeństwa, w tym 4 o wysokiej ważności (High). Aktualizacja obejmuje także Androida (143.0.7499.52) i iOS (1...
Krytyczna luka w dodatku „King Addons for Elementor” aktywnie wykorzystywana. Jak się bronić?

Krytyczna luka w dodatku „King Addons for Elemento...

2 tygodni temu Wprowadzenie do problemu / definicja luki Atakujący aktywnie wykorzystują krytyczną podatność CVE-2025-8489 w wtyczce King Addons for Elementor (dodatek do buildera Elementor dla WordPressa). Błąd pozwala podnieść uprawnienia podczas rejestracji użyt...
Wycieki danych w Marquis uderzają w ponad 74 banki i unie kredytowe w USA

Wycieki danych w Marquis uderzają w ponad 74 banki...

2 tygodni temu Wprowadzenie do problemu / definicja luki Marquis Software Solutions – dostawca systemu i usług marketingowo-analitycznych dla sektora finansowego w USA – poinformował o naruszeniu bezpieczeństwa, które dotknęło co najmniej 74 banki i unie kredytowe....
Aisuru: botnet stojący za rekordowym atakiem DDoS 29,7 Tb/s. Co wiemy i jak się bronić

Aisuru: botnet stojący za rekordowym atakiem DDoS ...

2 tygodni temu Wprowadzenie do problemu / definicja luki W trzecim kwartale 2025 r. Cloudflare zarejestrował i zneutralizował rekordowy atak DDoS o szczytowym wolumenie 29,7 Tb/s, przypisany do gigantycznego botnetu Aisuru. To tzw. atak hiper-wolumetryczny (powyżej...
Krytyczna podatność unauth remote code execution w React Server Components. 10/10 w skali CVSS. CVE-2025-55182

Krytyczna podatność unauth remote code execution w...

2 tygodni temu Podatny jest komponent React Server Components (czyli część serwerowa frameworku frontendowego ;). jeżeli nie masz tego zainstalowanego – nie jesteś podatny. jeżeli masz zainstalowane React Server Components (nawet jak Twoja appka z tego nie korzysta...
Padł rekord. Takiej mocy jeszcze nie było

Padł rekord. Takiej mocy jeszcze nie było

2 tygodni temu W ciągu zaledwie 3 miesięcy cyberprzestępcy przeprowadzili aż 1300 ataków DDoS dzięki botnetu Aisuru. Jeden z nich był rekordowy.Aisuru to ogromny botnet, którego model biznesowy polega na możliwości wynajęcia go do przeprowadzenia ataku. Z szacunków...
Ponad 6 mln Polaków dostanie nowe faktury za prąd. Tak firma rozwiązała powszechny problem

Ponad 6 mln Polaków dostanie nowe faktury za prąd....

2 tygodni temu Jeden z największych dostawców prądu zdecydował się na wprowadzenie ważnych zmian w wystawianych fakturach. Klienci jeszcze w tym roku otrzymają nowe, uproszczone dokumenty. Prace nad tą formą trwały kilka miesięcy, ale efekty tego są już widoczne. Z...
Twój laptop rozładowuje się w plecaku? Przestań używać trybu „Uśpij” i zrób to zamiast niego

Twój laptop rozładowuje się w plecaku? Przestań uż...

2 tygodni temu Znasz to uczucie? Ładujesz laptopa do pełna, zamykasz klapę, wrzucasz go do torby, a rano wyjmujesz sprzęt, który jest gorący jak piec i ma 5% baterii. To nie magia, ani zużyty akumulator. To wina „nowoczesnego” trybu uśpienia w systemie...
GrapheneOS migruje wszystkie usługi poza Francję – nie chcą wprowadzać podatności wymaganych przez rząd

GrapheneOS migruje wszystkie usługi poza Francję –...

2 tygodni temu Bardzo niepokojące informacje podali twórcy GrapheneOS – systemu operacyjnego przeznaczonego na urządzenia mobilne (opartego na Android), którego głównym celem jest zapewnienie większego bezpieczeństwa i prywatności. We wpisie zamieszczonym w serwisi...
Kobiety w średnim wieku powinny uważać na stawy bardziej niż mężczyźni. Oto, co odkryto

Kobiety w średnim wieku powinny uważać na stawy ba...

2 tygodni temu Kobiety, zwłaszcza te po czterdziestce, powinny szczególnie zatroszczyć się o zdrowie swoich stawów poprzez regularne wizyty u lekarza i odpowiednie ćwiczenia siłowe. Jedno z najszerzej zakrojonych badań nad tym zagadnieniem rzuca nowe światło na pod...

Popularne

Domański zmienił zdanie ws. przyjęcia waluty euro. "Powiem bardzo otwarcie"

Domański zmienił zdanie ws. przyjęcia waluty euro. "Powiem b...

5 dni temu 220
Koalicja wchodzi w decydującą fazę. "Pierwsza połowa rządów była fatalna"

Koalicja wchodzi w decydującą fazę. "Pierwsza połowa rządów ...

6 dni temu 176
Wyższe czynsze i usterki po rewitalizacji Księżego Młyna. "Nie stać nas na mieszkanie w zabytku"

Wyższe czynsze i usterki po rewitalizacji Księżego Młyna. "N...

6 dni temu 170
Piotr Haiduk, Aleksandra Cyniak: Teoria salda czy „teoria półtorej kondykcji”?

Piotr Haiduk, Aleksandra Cyniak: Teoria salda czy „teoria pó...

5 dni temu 138
Państwowe banki ukarane. Mowa wprost o nadużyciach wobec klientów

Państwowe banki ukarane. Mowa wprost o nadużyciach wobec kli...

2 dni temu 136
English (US) English (US) · Polish (PL) Polish (PL) · Russian (RU) Russian (RU) ·
Kontakt · Regulamin · O nas ·

© S.O.S. dla gospodarki 2025. Wszelkie prawa zastrzeżone.