CERT Polska zidentyfikował i przypisał dziewięć numerów CVE (od CVE-2025-7063 do CVE-2025-8122) do oprogramowania PAD CMS. Potwierdzono, że system ten jest używany w licznych polskich podmiotach publicznych, w tym w urzędach gmin, bibliotekach i szkołach. Najpoważniejsza z podatności pozwala nieuwierzytelnionemu atakującemu na wstrzyknięcie i wykonanie własnych skryptów. W momencie publikacji raportu zidentyfikowano 961 podatnych instancji i wysłano 350 ostrzeżeń do dotkniętych organizacji. Waga podatności skłoniła Pełnomocnika Rządu ds. Cyberbezpieczeństwa do wydania specjalnej rekomendacji dotyczącej wymiany tego oprogramowania.  

Podatność w PAD CMS jest symptomem systemowych zaniedbań w zakresie cyberbezpieczeństwa w polskim sektorze edukacji i samorządach lokalnych. Przewodnik „Cyberbezpieczeństwo dla Edukacji” dostarcza szczegółowego obrazu typowej postawy cyberbezpieczeństwa w polskich szkołach, opisując wszechobecny brak formalnych procedur, planowania i świadomości. Wśród kluczowych niedociągnięć wymienia się brak planów reagowania na incydenty, brak formalnych ocen ryzyka, współdzielone konta użytkowników oraz niewystarczające szkolenia personelu. ¹ Powszechne użycie podatnego i prawdopodobnie niewspieranego lub nieaktualizowanego systemu CMS, jakim jest PAD CMS, jest bezpośrednim przejawem tych udokumentowanych słabości. Wskazuje to na brak podstawowego ładu IT, zarządzania zasobami i procesów zarządzania podatnościami – fundamentalnych elementów cyberbezpieczeństwa. ¹ Fakt, że organ rządowy musiał wydać rekomendację wymiany oprogramowania, a nie tylko jego aktualizacji, sugeruje, że podatności są głęboko zakorzenione, a samo oprogramowanie może być fundamentalnie niebezpieczne. Nie jest to więc tylko wada oprogramowania; to porażka organizacyjna i kulturowa.

Wypełnij formularz, a w ciągu 24h skontaktujemy się z Tobą w sprawie audytu Twojej strony www, firmy lub instytucji.

Dlaczego warto zamówić audyt cyberbezpieczeństwa?

Twoja strona www, poczta i systemy IT to serce Twojego biznesu lub instytucji. Wystarczy jedna luka bezpieczeństwa, by dane klientów, uczniów czy beneficjentów trafiły w niepowołane ręce.

Audyt cyberbezpieczeństwa White Cyber pozwoli Ci:

• sprawdzić zabezpieczenia strony www, systemów i procesów,

• wykryć błędy konfiguracyjne i luki w politykach bezpieczeństwa,

• otrzymać raport ryzyk i plan napraw 30/60/90 dni,

• przygotować się na wymagania RODO, NIS2 i ISO 27001.

Co się dzieje po wypełnieniu formularza?

1. W ciągu 24 godzin skontaktujemy się z Tobą telefonicznie lub mailowo.
2. Ustalimy zakres audytu (podstawowy – strona www, lub rozszerzony – cała organizacja).
3. Po audycie otrzymasz raport i gotowe rekomendacje działań.

Nie ryzykuj kar i utraty reputacji. Zabezpiecz swoją organizację z White Cyber.