Pełnomocnik Rządu ds. Cyberbezpieczeństwa Krzysztof Gawkowski wydał rekomendację, w której zaleca podmiotom krajowego systemu cyberbezpieczeństwa (KSC) bezzwłoczne zaprzestanie korzystania z oprogramowania PAD CMS. System ten, służący do zarządzania treściami na stronach internetowych, posiada liczne podatności bezpieczeństwa, które nie zostaną usunięte ze względu na brak wsparcia ze strony producenta – Polskiej Akademii Dostępności.
Wysokie ryzyko incydentu krytycznego
Według komunikatu, dalsze wykorzystywanie PAD CMS wiąże się z wysokim ryzykiem wystąpienia incydentu krytycznego. Może to stanowić zagrożenie zarówno dla bezpieczeństwa publicznego, jak i dla istotnego interesu bezpieczeństwa państwa.
Rekomendacja została wydana po konsultacjach przeprowadzonych z zespołami reagowania na incydenty bezpieczeństwa komputerowego CSIRT NASK, CSIRT GOV i CSIRT MON, które potwierdziły możliwość wystąpienia poważnych incydentów w przypadku dalszego użytkowania systemu.
Podatności w PAD CMS – raport CERT Polska
30 września 2025 r. CERT Polska opublikował szczegółowe informacje o dziewięciu podatnościach występujących we wszystkich wersjach PAD CMS do 1.2.1 włącznie.
Zidentyfikowane podatności (CVE)
- CVE-2025-7063 – Unrestricted Upload of File with Dangerous Type (CWE-434) – brak odpowiedniej walidacji pozwala na przesyłanie plików dowolnego typu i potencjalne zdalne wykonanie kodu.
- CVE-2025-7065 – Unrestricted Upload of File with Dangerous Type (CWE-434) – podobna podatność dotycząca funkcjonalności wgrywania zdjęć.
- CVE-2025-8116 – Reflected XSS (CWE-79) – możliwość wykonania złośliwego kodu JavaScript w przeglądarce użytkownika.
- CVE-2025-8117 – Missing Initialization of Resource (CWE-909) – błędna obsługa parametru resetowania hasła pozwala zmienić hasło dowolnego użytkownika.
- CVE-2025-8118 – Client-Side Enforcement of Server-Side Security (CWE-602) – mechanizm ochrony przed brute-force oparty na ciasteczkach może być łatwo ominięty.
- CVE-2025-8119 – Cross-Site Request Forgery (CWE-352) – możliwość zmiany hasła użytkownika poprzez spreparowaną stronę WWW.
- CVE-2025-8120 – Unrestricted Upload of File with Dangerous Type (CWE-434) – kolejna luka w funkcjonalności wgrywania zdjęć, prowadząca do RCE.
- CVE-2025-8121 – SQL Injection (CWE-89) – możliwość przeprowadzenia ataków Blind SQLi w funkcji pozycjonowania artykułów.
- CVE-2025-8122 – SQL Injection (CWE-89) – dodatkowa luka SQLi w tej samej funkcjonalności.
Konsekwencje
CERT Polska podkreśla, że wykryte podatności mogą umożliwiać:
- przejęcie pełnej kontroli nad serwerem,
- zdalne wykonanie kodu przez atakującego,
- kradzież danych uwierzytelniających,
- eskalację uprawnień i zmianę haseł użytkowników,
- ataki XSS oraz SQL Injection, prowadzące do utraty integralności i poufności danych.
Ponieważ producent PAD CMS zakończył wsparcie dla systemu, nie przewiduje się wydania poprawek bezpieczeństwa. W związku z tym rekomendowane jest niezwłoczne wycofanie oprogramowania i wdrożenie alternatywnych rozwiązań.





