W ostatnim czasie ujawniono krytyczne podatności w popularnym systemie zarządzania treścią PAD CMS, wykorzystywanym powszechnie przez instytucje publiczne i komercyjne w Polsce. Problem dotyczy bezpieczeństwa danych oraz stabilności kluczowych usług cyfrowych tej platformy.

Odkrycie podatności

Podatności w systemie zostały wykryte przez ekspertów z Securitum: Roberta Kruczka i Kamila Szczurowskiego. Ich spontaniczne testy bezpieczeństwa ujawniły krytyczne luki typu unauthenticated Remote Code Execution (RCE). Odkrycia te zostały zgłoszone do zespołu CERT Polska, który zajął się ich potwierdzeniem i odpowiedzialnym ujawnieniem.

Charakterystyka wykrytych podatności

Najpoważniejsze luki otrzymały identyfikatory CVE-2025-7063 oraz CVE-2025-7065. Pierwsza z nich polegała na braku walidacji w module uploadu plików, przez co nieautoryzowany użytkownik mógł przesłać na serwer dowolny plik, w tym szkodliwy. Druga podatność dotyczyła analogicznego błędu w uploadzie zdjęć. Audyt przeprowadzony przez CERT Polska ujawnił dodatkowo siedem innych luk, w tym błędy SQL Injection, Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF) i problemy z inicjalizacją systemu. Łącznie wykryto dziewięć podatności, które sprawiają, iż całość systemu powinna być uznawana za skrajnie podatną.

Analiza i działania CERT Polska

CERT Polska, po otrzymaniu zgłoszenia, przeprowadził szczegółową analizę podatności. Odpowiedzialny proces ujawniania umożliwił zidentyfikowanie wszystkich luk oraz przekazanie informacji opinii publicznej i użytkownikom platformy. Wszystkie luki zostały zarejestrowane w międzynarodowej bazie CVE.

Skutki i rekomendacje

Producent PAD CMS zakończył wsparcie techniczne i nie planuje wydania poprawek bezpieczeństwa. Strona projektu została usunięta. W związku z tym zaleca się natychmiastowe usunięcie wszystkich instancji PAD CMS oraz migrację na aktywnie wspierane systemy CMS, takie jak WordPress. Dla stron Biuletynu Informacji Publicznej rekomendowane jest użycie oficjalnego narzędzia BIP. Pełnomocnik Rządu ds. Cyberbezpieczeństwa oraz eksperci zespołu rządowego zalecają natychmiastowe wycofanie PAD CMS z eksploatacji ze względu na realne ryzyko poważnego incydentu lub naruszenia interesu państwa.

Znaczenie odkrycia i ryzyka

PAD CMS był wykorzystywany przez liczne podmioty sektora publicznego. Krytyczne podatności RCE sprawiają, iż pozostawienie niezabezpieczonych instancji grozi wyciekiem danych lub przejęciem kontroli nad serwerem przez osoby nieuprawnione, co niesie poważne konsekwencje dla bezpieczeństwa cyfrowego, szczególnie w administracji publicznej.

Podsumowanie i dalsze kroki

Publikacja wykrytych podatności jest przestrogą dla wszystkich administratorów i użytkowników starych, niewspieranych systemów CMS. Eksperci podkreślają konieczność szybkiego wdrożenia alternatywnych rozwiązań. Szczegóły techniczne odkrycia będą prezentowane podczas zbliżającej się konferencji bezpieczeństwa w Krakowie.