CERT Polska ujawnił trzy poważne podatności (CVE-2025-3893/-3894/-3895) w popularnym, bezpłatnym systemie MegaBIP, z którego korzystają setki samorządów, szkół i szpitali do publikacji informacji publicznej.
W skrócie
Lukę można łatwo wykorzystać do przejęcia administracji stroną BIP, a tym samym wstrzyknięcia złośliwego kodu lub wycieku danych osobowych. Choć producent błyskawicznie wydał poprawkę 5.20, historia powtarzających się awarii pokazuje, że problem leży głębiej — w kulturze zarządzania ryzykiem i braku systematycznych testów bezpieczeństwa w polskiej administracji.
Polski sektor publiczny wciąż korzysta z oprogramowania MegaBIP – popularnego, bezpłatnego CMS-u służącego do prowadzenia stron Biuletynu Informacji Publicznej (BIP) i zgodnego z krajowymi wymogami udostępniania informacji publicznej – a właśnie w nim CERT Polska opublikował dziś, 23 maja 2025 r., ostrzeżenie o trzech nowych podatnościach oznaczonych CVE-2025-3893, -3894 i -3895.
Luki obejmują klasyczne SQL Injection, Stored XSS i mechanizm odzyskiwania haseł dający się złamać metodą brute force, co razem pozwala atakującemu najpierw wstrzyknąć kod SQL, potem przejąć sesję administratora, a wreszcie zmienić hasło administratora bez autoryzacji. Producent wydał już wersję 5.20, udostępnioną 25 kwietnia 2025 r., w której te błędy zostały wyeliminowane.
Sprawdź też: Kiedy AI spotyka się z CyberSec? Już teraz zgłoś swój startup
Znaczenie MegaBIP dla administracji
MegaBIP jest jednym z najczęściej wdrażanych systemów BIP; autor udostępnia go bezpłatnie w wariancie podstawowym i reklamuje jako „najlepiej przetestowany program do stron podmiotowych BIP”.
Prawo nakłada na organy władzy publicznej, samorządy i liczne inne podmioty obowiązek utrzymywania stron BIP zgodnie z ustawą o dostępie do informacji publicznej z 6 września 2001 r. oraz rozporządzeniem MSWiA z 18 stycznia 2007 r.
Popularność MegaBIP-u oznacza, że błędy w tym jednym produkcie potencjalnie otwierają furtkę do setek witryn urzędów, szkół, szpitali czy spółek komunalnych.
Ciągłość problemów i oficjalne ostrzeżenia
Dzisiejsze CVE nie są pierwszymi. W czerwcu 2024 r. CERT Polska ujawnił trzy krytyczne luki (CVE-2024-1576, -1577, -1659), a Ministerstwo Cyfryzacji wydało wówczas oficjalną „Rekomendację Pełnomocnika Rządu ds. Cyberbezpieczeństwa”, w której wprost odradzono podmiotom krajowego systemu cyberbezpieczeństwa korzystanie z MegaBIP i bliźniaczego SmodBIP-u, dopóki producent nie podniesie standardów bezpieczeństwa.
Jeszcze wcześniej, w grudniu 2023 r., MegaBIP padł ofiarą aktywnie wykorzystywanej luki CVE-2023-5378, co zmusiło autora do wprowadzenia większych zmian w linii 5.x. Dzisiejsze CVE pokazują więc, że mimo kolejnych łatek ryzyko pozostaje realne.
Według najnowszego raportu Palo Alto Networks polski sektor publiczny i wojskowo-rządowy odpiera już ponad 4000 cyberataków miesięcznie, a analitycy spodziewają się dalszego wzrostu w roku wyborczym 2025. Jednocześnie badanie AMP opublikowane dziś przez ITwiz wskazuje, że tylko 15% instytucji publicznych zamawia testy penetracyjne, a 18% nie weryfikuje swoich zabezpieczeń w ogóle.
W takim środowisku pojedynczy łańcuch podatności w popularnym CMS-ie staje się dla grup przestępczych gotowym wektorem ataku, zwłaszcza że w praktyce pozwala na defacement, wstrzyknięcie malware albo masowe wycieki danych osobowych z dokumentów publikowanych w BIP.
Czytaj też: Rosyjski atak na polskie kamery graniczne. Tak GRU wykorzystało monitoring, by śledzić pomoc dla Ukrainy
Reakcja producenta i zalecenia
Autor MegaBIP-u zachęca do natychmiastowej aktualizacji do wersji 5.20, podkreślając, że porzucił niebezpieczne biblioteki JavaScript (Summernote i Trumbowyg) na rzecz jednego, utrzymywanego edytora Quill, właśnie ze względów bezpieczeństwa.
CERT Polska rekomenduje również zmianę haseł wszystkich kont i weryfikację, czy nie wgrano złośliwych plików w okresie, gdy podatne wersje były eksploatowane.
Rząd przeznacza 1,47 mld zł na program „Cyberbezpieczny Samorząd”, a nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa ma wprowadzić obowiązek regularnego audytu i zgodności z dyrektywą NIS2. Dzisiejszy incydent pokazuje jednak, że bez egzekwowania aktualizacji nawet najtańsze wczesne ostrzeżenie – w postaci publicznego CVE – nie wystarczy. Samorządy muszą więc położyć większy nacisk na zarządzanie podatnościami, testy penetracyjne i segmentację sieci, zamiast ograniczać się do minimum prawnego wymaganego przez ustawę o BIP.
Wnioski
Trzy luki opublikowane dziś przez CERT Polska uderzają w sam rdzeń cyfrowej przejrzystości państwa: platformę, która zgodnie z prawem ma zapewniać obywatelom dostęp do informacji publicznej. Choć producent szybko udostępnił poprawkę, historia powtarzających się podatności i oficjalnych ostrzeżeń pokazuje, że problem nie leży wyłącznie w kodzie, lecz także w kulturze zarządzania ryzykiem w administracji publicznej.
Aktualizacje do wersji 5.20, przegląd logów serwerów i wdrożenie stałego procesu testowania bezpieczeństwa powinny stać się priorytetem dla każdej instytucji korzystającej z MegaBIP.