PAD CMS – 9 krytycznych podatności i oficjalne wezwanie do zaprzestania użytkowania | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

czerwony trójkąt z wykrzyknikiem w środku unosi się nad klawiaturą laptopa

PAD CMS – 9 krytycznych podatności i oficjalne wezwanie do zaprzestania użytkowania

CSIRT CeZ ostrzega przed poważnym zagrożeniem dla bezpieczeństwa cyfrowego instytucji publicznych. W oprogramowaniu PAD CMS, służącym do zarządzania treściami na stronach internetowych, zidentyfikowano aż 9 krytycznych podatności, które mogą prowadzić do incydentu cyberbezpieczeństwa o charakterze krytycznym. 

Proces ujawniania informacji o podatnościach koordynował CERT Polska, który potwierdził ich wysoką szkodliwość i brak możliwości ich załatania ze względu na zakończenie wsparcia producenta. Wspólne działania zespołów CSIRT poziomu krajowego doprowadziły do wydania oficjalnej rekomendacji Ministra Cyfryzacji.

Oficjalna rekomendacja Ministra Cyfryzacji

W związku z brakiem wsparcia producenta i brakiem planowanych aktualizacji, Wicepremier, Minister Cyfryzacji Krzysztof Gawkowski wydał oficjalną rekomendację: natychmiastowe zaprzestanie korzystania z PAD CMS przez podmioty krajowego systemu cyberbezpieczeństwa (KSC).

Minister Cyfryzacji potwierdził take możliwość wystąpienia incydentu krytycznego w przypadku dalszego korzystania z PAD CMS. W komunikacie zaznaczono, że:

„Stosowanie oprogramowania z ww. podatnościami ma negatywny wpływ na bezpieczeństwo publiczne i istotny interes bezpieczeństwa państwa.”

Podmioty krajowego systemu cyberbezpieczeństwa (KSC) zostały wezwane do bezzwłocznego zaprzestania wykorzystywania PAD CMS. Brak reakcji może skutkować poważnymi konsekwencjami dla bezpieczeństwa infrastruktury teleinformatycznej.

Co należy zrobić?

  • Instytucje, które korzystają z PAD CMS powinny natychmiast przeprowadzić audyt i wdrożyć alternatywne rozwiązania CMS.
  • W przypadku wątpliwości co do rekomendacji, możliwe jest wniesienie zastrzeżeń zgodnie z ustawą o KSC.
  • Zalecamy dalsze śledzenie ostrzeżeń i kontakt z zespołem CSIRT CeZ w razie wątpliwości. 

Lista zidentyfikowanych podatności

  • CVE-2025-7063 - funkcjonalność wgrywania plików pozwala nieuwierzytelnionemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i z dowolnym rozszerzeniem, co może prowadzić do zdalnego wykonania kodu
  • CVE-2025-7065 - analogiczna podatność dotycząca funkcji wgrywania zdjęć.
  • CVE-2025-8116 - PAD CMS jest podatny na atak typu Reflected XSS w funkcjonalności drukowania oraz zapisu do PDF. Złośliwy atakujący może przygotować specjalny adres URL, który po otwarciu spowoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.
  • CVE-2025-8117 - oprogramowanie niepoprawnie inicjalizuje parametr używany do odzyskiwania hasła, co umożliwia zmianę hasła dowolnego użytkownika, który nie skorzystał wcześniej z funkcji resetowania hasła.
  • CVE-2025-8118 - PAD CMS niepoprawnie implementuję ochronę przed atakami typu brute-force wykorzystując kontrolowane przez klienta ciasteczka: login_count oraz login_timeout. Informacje o liczbie prób logowania oraz czasie blokady nie są przechowywane po stronie serwera, co pozwala złośliwemu atakującemu obejść ochronę przed atakami typu brute-force poprzez resetowanie tych ciasteczek.
  • CVE-2025-8119 - PAD CMS jest podatny na atak typu Cross-Site Request Forgery w funkcji resetowania hasła. Złośliwy atakujący może przygotować specjalną stronę internetową, która po odwiedzeniu przez ofiarę automatycznie wyśle żądanie POST zmieniające hasło aktualnie zalogowanego użytkownika na wartość zdefiniowaną przez atakującego.
  • CVE-2025-8120 – ze względu na kontrolowany przez klienta parametr sprawdzający uprawnienia, funkcjonalność wgrywania zdjęć w PAD CMS pozwala nieuwierzytelnionemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i rozszerzeniu, co może prowadzić do zdalnego wykonania kodu.
  • Podatność CVE-2025-8121 -nieprawidłowa neutralizacja danych wejściowych dostarczonych przez uwierzytelnionego atakującego w funkcjonalności pozycjonowania artykułów umożliwia ataki typu Blind SQL Injection.
  • Podatność CVE-2025-8122 - nieprawidłowa neutralizacja danych wejściowych dostarczonych przez uwierzytelnionego atakującego w funkcjonalności pozycjonowania artykułów umożliwia ataki typu Blind SQL Injection.

Wszystkie podatności dotyczą wersji PAD CMS do 1.2.1 włącznie i występują we wszystkich szablonach: www, bip oraz www+bip. 

W przypadku wystąpienia incydentu, prosimy o niezwłoczne zgłoszenie incydentu do zespołu CSIRT CeZ:

  • Adres e-mail do zgłoszeń: %20incydent [at] csirt.cez.gov.pl (incydent[at]csirt[dot]cez[dot]gov[dot]pl)
  • Formularz zgłoszenia

Gdyby pojawiły się pytania lub wątpliwości, prosimy o kontakt e-mail pod adres: info [at] csirt.cez.gov.pl (info[at]csirt[dot]cez[dot]gov[dot]pl)