Nowe wytyczne cyberbezpieczeństwa: rekomendacja zaprzestania korzystania z systemu PAD CMS

„Nowe wytyczne cyberbezpieczeństwa: rekomendacja zaprzestania korzystania z systemu PAD CMS”. W tle znajduje się rozmyte zdjęcie dłoni naciskającej klawisz laptopa z nałożoną ikoną trójkąta ostrzegawczego. Na białym tle widoczne jest logo Grupa WW GovTech.

Spis treści

W oprogramowaniu PAD CMS, z którego przez lata korzystały setki urzędów i instytucji publicznych, wykryto poważne luki w obszarze cyberbezpieczeństwa. Eksperci CERT Polska potwierdzili, że podatności te mogą zostać wykorzystane do skutecznego cyberataku na strony administracji i Biuletyny Informacji Publicznej. Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał w tej sprawie rekomendację. 

Czym jest PAD CMS? 

PAD CMS to system zarządzania treścią (CMS), który powstał w ramach projektu Polska Akademia Dostępności. Jego celem było dostarczenie podmiotom publicznym i organizacjom pozarządowym bezpłatnych, dostępnych cyfrowo serwisów internetowych. Zaletą tego systemu CMS jest brak opłat licencyjnych i projektowanie z myślą o standardzie WCAG 2.1. Dlatego wiele urzędów gmin, szkół, instytucji kultury i NGO korzystało lub wciąż korzysta z tego rozwiązania. 

Zagrożenia cyberbezpieczeństwa wykryte w PAD CMS 

W ostatnim czasie system przestał być rozwijany i aktualizowany przez producenta. Brak wsparcia technicznego oznacza brak poprawek błędów, w tym tych dotyczących cyberbezpieczeństwa. 

Analiza przeprowadzona przez CERT Polska ujawniła w PAD CMS dziewięć istotnych podatności. Najpoważniejsze z nich pozwalają osobie nieuprawnionej wgrać i uruchomić na serwerze złośliwe pliki, co w praktyce oznacza możliwość pełnego przejęcia strony lub BIP poprzez cyberatak. 

Inne luki umożliwiają przejęcie kont redaktorów i administratorów na skutek manipulacji procesem odzyskiwania hasła. Mogą prowadzić też do wymuszenia działań bez wiedzy zalogowanego użytkownika. Dodatkowo, w PAD CMS występują błędy pozwalające dostarczać obcy kod do przeglądarki odwiedzających oraz manipulować zapytaniami do bazy danych. To może prowadzić do podglądu, zmiany lub usunięcia informacji i wrażliwych danych. 

Cyberbezpieczeństwo – rządowa rekomendacja dotycząca PAD CMS 

W październiku 2025 r. Pełnomocnik Rządu ds. Cyberbezpieczeństwa, opublikował rekomendację zaprzestania korzystania z PAD CMS. 

W dokumencie wskazano, że podmioty krajowego systemu cyberbezpieczeństwa (KSC) powinny niezwłocznie wyłączyć PAD CMS z użytku. Dalsze korzystanie z tego systemu stwarza ryzyko incydentu krytycznego i może stanowić zagrożenie dla bezpieczeństwa państwa. 

Jakie instytucje powinny reagować? 

W pierwszej kolejności rekomendacja dotyczy podmiotów wchodzących w skład krajowego systemu cyberbezpieczeństwa, czyli m.in.: 

  • operatorów usług kluczowych, 
  • dostawców usług cyfrowych, 
  • jednostek sektora finansów publicznych, 
  • innych wskazanych w ustawie o krajowym systemie cyberbezpieczeństwa. 

W rzeczywistości każdy podmiot, który wciąż korzysta z PAD CMS powinien podjąć jak najszybsze kroki, aby nie narazić się na cyberatak. 

Wsparcie jednostek przy zmianach systemu CMS

GrupaWW Govtech zapewnia wsparcie przy przeprowadzeniu jednostki przez cały proces zmian systemu CMS, z uwzględnieniem zasad cyberbezpieczeństwa i dostępności cyfrowej. Zapewniamy m.in. gotowe szablony WCAG, które pozwalają stworzyć bezpieczne, dostępne cyfrowo strony. 

Źródło: 

  • https://www.gov.pl/web/cyfryzacja/rekomendacja-pelnomocnika-rzadu-ds-cyberbezpieczenstwa-zaprzestanie-korzystania-z-oprogramowania-pad-cms 
  • https://cert.pl/posts/2025/09/CVE-2025-7063/  

O autorze

logo

Michał Nieroda

Ukończył dziennikarstwo i komunikację społeczną. Copywriter WCAG, który śledzi i analizuje najnowsze przepisy prawne w kontekście osób ze szczególnymi potrzebami, a także opisuje najważniejsze zmiany dotyczące standardów dostępności.

Podobne artykuły