Polska drużyna reagowania na incydenty cybernetyczne skoordynowała proces naprawy poważnej luki bezpieczeństwa w oprogramowaniu ThemisNETPanel producenta 4real. Podatność katalogowana jako CVE-2026-6847 pozwala atakującemu na wykonanie dowolnego kodu na serwerze.

Problem polega na braku weryfikacji użytkownika w funkcji przesyłania plików. Endpoint aplikacji akceptuje pliki PHP kodowane w base64 bez sprawdzenia tożsamości osoby wysyłającej, co daje atakującemu dostęp do serwera. Luka została wyeliminowana w aktualizacji wydanej w kwietniu 2026.

Podatność zgłosili Kamil Szczurowski i Robert Krucek. CERT Polska przypomina o znaczeniu odpowiedzialnego ujawniania luk bezpieczeństwa za pośrednictwem dedykowanego procesu opisanego na stronie cert.pl/cvd/.

Co to oznacza dla Ciebie

  • Jeśli korzystasz z ThemisNETPanel — zaktualizuj oprogramowanie do wersji z kwietnia 2026 lub nowszej

  • Jeśli administrujesz serwerem — sprawdź logi dostępu do funkcji przesyłania plików z poprzednich miesięcy

  • Skontaktuj się z dostawcą, jeśli masz wątpliwości czy Twoja instalacja była narażona


Źródło: CERT Polska