Krytyczne podatności RCE w PAD CMS – zgłoszenie przez ekspertów Securitum i analiza CERT Polska – konieczne natychmiastowe działania

Naszych dwóch audytorów bezpieczeństwa z Securitum – Robert Kruczek oraz Kamil Szczurowski w ramach działań typu happy hunting (spontaniczne testy systemów w celu poprawy jakości polskiego Internetu) wykryło krytyczne podatności typu unauthenticated Remote Code Execution (RCE) w systemie PAD CMS (na którym uruchamiane są aplikacje internetowe oraz biuletyny informacji publicznej).

Podatności zostały zgłoszone przez audytorów do zespołu CERT Polska, który podjął koordynację procesu responsible disclosure (odpowiedzialne ujawnianie – to proces, w którym osoba odkrywająca lukę w zabezpieczeniach systemu lub aplikacji zgłasza ją właścicielowi systemu w celu jej naprawienia). Obie luki otrzymały następujące identyfikatory CVE:

• CVE-2025-7063 – brak odpowiedniej walidacji w module uploadu plików, umożliwiający przesyłanie plików o dowolnym typie i rozszerzeniu przez nieautoryzowanego użytkownika, co prowadzi do zdalnego wykonania kodu (RCE).
  
• CVE-2025-7065 – analogiczny błąd w module uploadu zdjęć, czyli brak odpowiedniej walidacji treści pliku graficznego. Możliwe załadowanie do serwera dowolnego, także złośliwego pliku.
  

Po otrzymaniu zgłoszenia zespół CERT przeprowadził pełną analizę systemu PAD CMS i ujawnił kolejne siedem podatności (m.in. błędy typu SQLi, XSS, CSRF, czy też problemy inicjalizacji). Oznacza to, że system jako całość należy uznać za wysoce podatny.

Status systemu i rekomendacje

Producent rozwiązania PAD CMS zakończył wsparcie dla oprogramowania i nie planuje wydania poprawek bezpieczeństwa. Usunął także stronę projektu, z której można było pobrać ww. oprogramowanie.

W związku z faktem, że oprogramowanie pozostanie podatne, zalecane jest:

• natychmiastowe usunięcie wszystkich instancji PAD CMS,
• migracja na systemy CMS aktywnie rozwijane i wspierane, np. WordPress,
• w przypadku stron Biuletynu Informacji Publicznej rekomendowane jest korzystanie z oficjalnego narzędzia BIP (https://www.gov.pl/web/bip), zalecanego przez Ministerstwo Cyfryzacji.
  

Znaczenie odkrycia

Warto podkreślić, że system PAD CMS był wykorzystywany m.in. przez instytucje publiczne. Zatem krytyczne podatności typu unauth RCE w nieaktualizowanym systemie niosą wysokie ryzyko naruszenia ochrony danych oraz pełnego przejęcia serwerów. Pełne badanie można odnaleźć na stronach CERT Polska pod tym adresem: https://cert.pl/posts/2025/09/CVE-2025-7063/

Naszym kolegom gratulujemy znaleziska i jednocześnie zapraszamy na naszą konferencję 20 października do Krakowa, gdzie będziecie mogli poznać historię i szczegóły techniczne dotyczące tej sytuacji. Zapisać można się pod adresem: https://hackingparty.pl

~Robert “ProXy” Kruczek oraz Kamil Szczurowski

~Tomek Turba