Wzmocnij WordPress przeciwko zaawansowanym zagrożeniom//Opublikowano 2026-05-14//CVE-2026-7046

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

NEX-Forms CVE-2026-7046

Nazwa wtyczki Formularze NEX
Rodzaj podatności Luki w WordPressie
Numer CVE CVE-2026-7046
Pilność Wysoki
Data publikacji CVE 2026-05-14
Adres URL źródła CVE-2026-7046

Pilne powiadomienie o bezpieczeństwie: Wstrzyknięcie SQL w NEX‑Forms (CVE‑2026‑7046) — Co właściciele stron WordPress muszą teraz zrobić

Opublikowano: 14 maja 2026

Jeśli Twoja strona WordPress korzysta z NEX‑Forms (znanego również jako Ultimate Forms) i wersja wtyczki to 9.1.12 lub starsza, musisz działać teraz. Wykryto podatność na wstrzyknięcie SQL dla uwierzytelnionego administratora (CVE‑2026‑7046), która dotyczy wersji <= 9.1.12 i została naprawiona w 9.1.13. Chociaż atakujący potrzebuje uprawnień administratora, aby wykorzystać ten problem, konsekwencje mogą być poważne — od ujawnienia bazy danych i manipulacji danymi po przejęcie strony i utrzymanie dostępu.

W tym poście wyjaśnię, w prostym języku i z praktycznej perspektywy bezpieczeństwa WordPress, jak ta podatność działa na wysokim poziomie, dlaczego jest ważna, mimo że wymaga konta administratora, jak wykrywać możliwe wykorzystanie, natychmiastowe i długoterminowe kroki naprawcze oraz jak zarządzany zapora aplikacji webowej (WAF) i inne kontrole w WP‑Firewall mogą pomóc w szybkim złagodzeniu i zmniejszeniu ryzyka.

To jest napisane dla właścicieli stron WordPress, deweloperów i zespołów hostingowych — z praktycznymi wskazówkami, które możesz zastosować już dziś.


Co się stało: szybkie podsumowanie

  • W NEX‑Forms (<= 9.1.12) odkryto podatność na wstrzyknięcie SQL.
  • Problem jest śledzony jako CVE‑2026‑7046 i został naprawiony w NEX‑Forms 9.1.13.
  • Wymaga uwierzytelnionego administratora (lub innego użytkownika z równoważnymi uprawnieniami), aby wywołać wstrzyknięcie, co oznacza, że nie jest to nieautoryzowane zdalne SQLi.
  • Ponieważ podatność pozwala na manipulację zapytaniami do bazy danych, udane wykorzystanie może prowadzić do wycieku danych, modyfikacji danych, tworzenia kont administracyjnych i pełnego przejęcia strony.

Mówiąc prosto: wtyczka pozwalała na niebezpieczne dane wejściowe do zapytań SQL. Nawet jeśli wykorzystanie wymaga dostępu administratora, wiele instalacji WordPress ma słabe lub powtórzone dane logowania administratora, a atakujący często łączą wiele podatności lub skradzione dane logowania, aby zmaksymalizować wpływ.


Obraz techniczny (wysoki poziom — bez szczegółów dotyczących wykorzystania)

Nie opublikuję tutaj kodu dowodowego ani dokładnych podatnych parametrów. Tego rodzaju informacje umożliwiają atakującym i najlepiej, aby zajmowali się nimi administratorzy i zespoły bezpieczeństwa. Zamiast tego oto, co jest przydatne dla obrońców:

  • Typ: Wstrzyknięcie SQL (A3 / Wstrzyknięcie)
  • CVE: CVE‑2026‑7046
  • Dotyczy wersji: NEX‑Forms <= 9.1.12
  • Wersja z poprawką: 9.1.13
  • Wymagane uprawnienia: Administrator (uwierzytelniony)
  • Prawdopodobna przyczyna: niewystarczająca sanitizacja/ucieczka danych wejściowych dostarczonych przez administratora, które następnie są interpolowane do SQL (zamiast być parametryzowane/przygotowane)
  • Uderzenie: Możliwe odczytywanie/modyfikowanie/usuwanie wierszy bazy danych uzyskiwanych przez kod wtyczki; w najgorszym przypadku ruch boczny prowadzący do pełnego kompromitacji WordPressa.

Ponieważ luka jest dostępna z funkcji administratora (na przykład edytowanie formularzy, import/eksport, akcje AJAX administratora itp.), skompromitowane konto administratora lub złośliwa wtyczka administratora mogą wywołać SQL injection i uruchomić dowolne zapytania przeciwko bazie danych WordPressa.


Dlaczego to ma znaczenie, mimo że jest to “tylko dla administratorów”

Wiele osób zakłada, że luki “tylko dla administratorów” są mniej pilne. To niebezpieczne założenie.

  • Konta administratorów są często celem: ataki typu credential stuffing, phishing, inżynieria społeczna, niemonitorowani wykonawcy lub skompromitowane maszyny deweloperów.
  • Złośliwi wewnętrzni lub skompromitowane konta administratorów mają już uprawnienia — SQLi daje im dyskretny sposób na modyfikację danych i tworzenie trwałych tylni drzwi bez oczywistych zmian w plikach.
  • Strony WordPress są często ze sobą połączone: skompromitowane konto administratora na jednej stronie może umożliwić przejście do innych stron lub usług (wspólni hostowie baz danych, systemy stagingowe lub połączone API).
  • Zautomatyzowane łańcuchy exploitów często łączą naruszenia danych uwierzytelniających z słabościami wtyczek, aby skalować ataki na wiele stron.

Dlatego nawet SQL injection „tylko dla administratorów” zasługuje na natychmiastowe usunięcie.


Scenariusze ataków w rzeczywistym świecie

Aby pomóc w priorytetyzacji obrony, oto prawdopodobne narracje ataków, które mogą wykorzystać napastnicy:

  1. Zbieranie danych uwierzytelniających → logowanie administratora → użycie SQLi do wyodrębnienia tabeli użytkowników i skrótów haseł → łamanie offline → masowe podnoszenie uprawnień na innych stronach.
  2. Skompromitowane konto administratora agencji → wstrzyknięcie SQL w celu dodania dyskretnego użytkownika administratora → przesłanie złośliwego oprogramowania lub skonfigurowanie zadań zaplanowanych dla trwałości.
  3. Kradzież danych: wykradanie rekordów klientów, e-maili, metadanych płatności (jeśli są przechowywane) lub innych wrażliwych informacji przechowywanych w tabelach WordPressa lub tabelach wtyczek.
  4. Ruch boczny: zmiana opcji lub konfiguracji wtyczki w celu połączenia z zewnętrznymi serwerami C2, prowadzenie do zdalnego wykonania kodu lub wstrzyknięcie złośliwego JavaScriptu na stronach front-end.
  5. Unikanie czyszczenia: usuwanie lub zmiana dzienników i rekordów w celu ukrycia śladów, co znacznie utrudnia reakcję na incydenty.

Te scenariusze nie są teoretyczne. Dlatego terminowe poprawki, obrona w głębokości i monitorowanie są niezbędne.


Kto jest narażony na ryzyko?

  • Każda instalacja WordPressa z zainstalowaną wtyczką NEX-Forms (Ultimate Forms) i nieaktualizowana po wersję 9.1.12.
  • Instalacje multisite korzystające z wtyczki aktywowanej w sieci na różnych stronach.
  • Strony, na których administratorzy dzielą konta lub gdzie dane uwierzytelniające administratora mogły zostać ujawnione.
  • Hosty i agencje, które zarządzają wieloma stronami klientów, szczególnie jeśli używają wspólnych poświadczeń lub zdalnych narzędzi administracyjnych.

Jeśli nie jesteś pewien, czy Twoja strona używa wtyczki lub która wersja jest zainstalowana, sprawdź listę wtyczek w panelu administracyjnym WordPressa lub użyj WP‑CLI: wp plugin get nex-forms --field=wersja (lub podobne) — ale upewnij się, że dostęp do narzędzi zarządzających jest kontrolowany.


Znaki eksploatacji — na co zwracać uwagę teraz

Jeśli podejrzewasz atak, natychmiast zwróć uwagę na te wskaźniki:

  • Nieoczekiwane nowe konta użytkowników administratorów lub zmiany ról użytkowników.
  • Nieuzasadnione treści lub edycje postów (spamowe posty, nowe strony).
  • Podejrzane połączenia wychodzące lub zadania cron.
  • Anomalie w bazie danych: nietypowe zapytania SELECT w logach wolnych zapytań lub nagłe skoki w odczytach DB.
  • Zmodyfikowane pliki wtyczek lub nieoczekiwane pliki w wp‑content/uploads.
  • Zmodyfikowane opcje strony (adres URL strony, ustawienia przekierowań) lub nieznany HTML/JS wstrzyknięty do stron.
  • Aktywność logowania z nietypowych adresów IP lub lokalizacji geograficznych w Twoich logach audytowych.

Jeśli znajdziesz dowody, postępuj zgodnie z procedurą reagowania na incydenty (patrz “Jeśli już zostałeś skompromitowany” poniżej).


Natychmiastowe kroki łagodzące (co właściciele stron muszą zrobić teraz)

Zrób te rzeczy tak szybko, jak to możliwe, w kolejności priorytetu:

  1. Aktualizacja wtyczki
    – Natychmiast zaktualizuj NEX‑Forms do wersji 9.1.13 lub nowszej. To jest najskuteczniejszy krok.
  2. Jeśli nie możesz zaktualizować natychmiast
    – Dezaktywuj i usuń wtyczkę, aż będziesz mógł przetestować i zaktualizować bezpiecznie.
    – Ogranicz dostęp administracyjny (tryb konserwacji, lista dozwolonych adresów IP).
  3. Rotacja danych uwierzytelniających
    – Wymagaj od wszystkich administratorów zmiany haseł i egzekwuj silne zasady haseł.
    – Cofnij dostęp do nieużywanych lub przestarzałych kont administratorów.
  4. Włącz i egzekwuj uwierzytelnianie dwuskładnikowe na kontach administratorów.
  5. Kopia zapasowa
    – Wykonaj pełną kopię zapasową plików i bazy danych przed przeprowadzeniem analizy, a następnie utwórz czystą kopię zapasową po usunięciu zagrożeń.
  6. Przeskanuj stronę.
    – Przeprowadź pełne skanowanie złośliwego oprogramowania i integralności w poszukiwaniu podejrzanych plików, zmodyfikowanych plików rdzenia/wtyczek oraz anomalii.
  7. Monitoruj dzienniki
    – Zbierz logi dostępu, logi błędów PHP, logi bazy danych oraz logi aktywności WordPressa w celu wykrycia podejrzanej aktywności w czasie możliwej eksploatacji.
  8. Powiadom interesariuszy
    – Poinformuj dostawcę hostingu, zespół deweloperski lub zarządzanego dostawcę bezpieczeństwa o podatności i działaniach naprawczych.

Aktualizacja do poprawionej wersji jest obowiązkowa. Nie zakładaj, że “tylko dla administratorów” oznacza, że możesz zignorować aktualizację.


Jeśli już zostałeś skompromitowany — praktyczna lista kontrolna reakcji na incydent

Jeśli wykryjesz oznaki kompromitacji, przeprowadź zorganizowaną reakcję:

  1. Izolować
    – Umieść stronę w trybie konserwacji; ogranicz dostęp do zaufanych adresów IP.
  2. Zachowaj dowody
    – Zrób archiwum bieżących plików i bazy danych do analizy kryminalistycznej.
  3. Zidentyfikuj wektor i zakres
    – Przejrzyj logi, aby zidentyfikować, kiedy i jak działał atakujący.
  4. Środek zaradczy
    – Zastosuj aktualizację wtyczki (lub ją usuń), oczyść złośliwe pliki, usuń nieznanych użytkowników administratorów.
    – Zmień wszystkie dane logowania administratorów i klucze API, które mogą być przechowywane na stronie.
    – Zmień sól i klucze WordPressa w wp‑config.php.
    – Zmień hasło użytkownika bazy danych, jeśli występują jakiekolwiek oznaki interakcji z bazą danych poza oczekiwanymi zapytaniami wtyczek.
  5. Przywróć z czystej kopii zapasowej, jeśli to konieczne
    – Jeśli nie możesz pewnie oczyścić strony, przywróć do znanej dobrej kopii zapasowej wykonanej przed kompromitacją.
  6. Monitorowanie po incydencie
    – Uważnie monitoruj ponowne pojawienie się złośliwych plików, tworzenie kont lub niewyjaśniony ruch.
  7. Zgłoś i ucz się
    – Jeśli dane użytkowników zostały ujawnione, postępuj zgodnie z obowiązującymi politykami i regulacjami dotyczącymi powiadamiania o naruszeniach.
    – Przeprowadź analizę po incydencie, aby poprawić polityki i kontrole.

Jeśli nie jesteś pewien, jak bezpiecznie wykonać którykolwiek z tych kroków, skontaktuj się z wykwalifikowanym specjalistą ds. bezpieczeństwa WordPress.


Wzmocnienie i długoterminowa prewencja

Luki w zabezpieczeniach związane z wstrzyknięciem SQL zasadniczo wynikają z niebezpiecznego przetwarzania danych wejściowych i niewłaściwego konstruowania zapytań. Długoterminowe kontrole zmniejszają ryzyko podobnych incydentów:

  • Higiena wtyczek:
    • Utrzymuj wszystkie wtyczki i motywy zaktualizowane zgodnie z harmonogramem.
    • Usuń nieużywane wtyczki — nieaktywne wtyczki mogą nadal zawierać kod podatny na wykorzystanie.
    • Preferuj wtyczki z aktywnym wsparciem, dobrą historią bezpieczeństwa i jasnymi politykami wydania.
  • Kontrola dostępu:
    • Wymuszaj unikalne, silne hasła administratora i 2FA.
    • Używaj separacji ról: twórz konta o niższych uprawnieniach do rutynowych zadań.
    • Ogranicz dostęp administratora według IP, gdzie to możliwe.
  • Najlepsze praktyki rozwoju:
    • Zawsze używaj przygotowanych zapytań do baz danych (w WordPress użyj $wpdb->prepare lub wyższych interfejsów API).
    • Waliduj i oczyszczaj wszystkie dane wejściowe po stronie serwera.
    • Unikaj konstruowania surowego SQL z połączonymi zmiennymi.
  • Monitorowanie i logowanie:
    • Utrzymuj logi (serwer WWW, aktywność WP, baza danych) i centralizuj je do analizy.
    • Używaj kontroli integralności, aby wykrywać nieautoryzowane zmiany plików.
  • Kopie zapasowe i odzyskiwanie:
    • Regularnie testuj kopie zapasowe i utrzymuj kopie poza siedzibą.
    • Miej udokumentowany plan odzyskiwania i listę kontaktów na wypadek incydentów.
  • Zarządzanie ryzykiem związanym z osobami trzecimi:
    • Przeglądaj wtyczki osób trzecich pod kątem bezpieczeństwa przed zainstalowaniem.
    • Używaj środowisk testowych do testowania aktualizacji.

Jak WAF i wirtualne łatanie pomagają

Prawidłowo skonfigurowany zapora aplikacji internetowej (WAF) nie jest zastępstwem dla łatania, ale znacznie zmniejsza ryzyko podczas planowania, testowania i wdrażania aktualizacji.

Kluczowe korzyści WAF dla tego rodzaju podatności:

  • Wirtualne łatanie: Reguły WAF mogą blokować znane wzorce exploitów i podejrzane żądania po stronie administratora, które pasują do wskaźników wstrzyknięcia SQL. To kupuje krytyczny czas między ujawnieniem podatności a wdrożeniem łaty.
  • Granularna ochrona administratora: ogranicz dostęp do panelu administracyjnego do zaufanych zakresów IP lub wymuszaj dodatkowe kontrole dla punktów końcowych AJAX administratora.
  • Wykrywanie zachowań: identyfikuj anormalne POST-y lub sekwencje żądań, które mogą wskazywać na próbę wykorzystania.
  • Ograniczenie liczby żądań i łagodzenie ataków brute force: zmniejsz ataki typu credential stuffing, które mogłyby dać atakującym dostęp do konta administratora w pierwszej kolejności.

W WP-Firewall stosujemy warstwowe reguły, które obejmują ryzyka OWASP Top 10 i zapewniają niestandardowe wirtualne łatki dla powszechnie używanych podatności WordPress podczas aktualizacji wtyczek. Jeśli wolisz zarządzać wszystkim wewnętrznie, przynajmniej wdroż podpisy WAF, które koncentrują się na metaznakach SQL w punktach końcowych administratora, ogranicz dostęp do wrażliwych akcji AJAX administratora i wdrażaj ścisłe egzekwowanie typu treści dla POST-ów administratora.


Wskazówki dla programistów: prawidłowe naprawianie wstrzyknięcia SQL

Jeśli jesteś programistą pracującym nad wtyczkami lub motywami, zrób następujące:

  • Używaj zapytań parametryzowanych i unikaj konkatenacji. Dla WordPressa, preferuj $wpdb->prepare lub używaj WP_Query/REST API/etc., które obsługują ucieczkę.
  • Waliduj typy: upewnij się, że liczby całkowite, wartości logiczne i enumeracje są walidowane przed użyciem.
  • Oczyść dane wejściowe: użyj dezynfekcja_pola_tekstowego, sanitize_email, wp_kses_post w miarę odpowiednio.
  • Używaj kontroli uprawnień: upewnij się, że akcje modyfikujące dane sprawdzają bieżący_użytkownik_może() oraz weryfikację nonce (wp_verify_nonce).
  • Ogranicz dostęp do bazy danych: użytkownicy DB wtyczek powinni mieć minimalne uprawnienia — tylko potrzebne tabele i uprawnienia.
  • Przegląd kodu i testowanie bezpieczeństwa: uwzględnij analizę statyczną i testowanie dynamiczne w CI oraz utrzymuj stronę bezpieczeństwa i politykę ujawniania.

Bezpieczeństwo musi być częścią cyklu życia rozwoju — a nie myślą na końcu.


Praktyczna lista kontrolna: 15 działań do podjęcia teraz

  1. Potwierdź, czy NEX‑Forms jest zainstalowany i sprawdź jego wersję.
  2. Jeśli wersja <= 9.1.12, zaktualizuj do 9.1.13 natychmiast.
  3. Jeśli nie możesz zaktualizować natychmiast, dezaktywuj i usuń wtyczkę.
  4. Wymuś uwierzytelnianie 2‑etapowe dla wszystkich administratorów.
  5. Zmień hasła dla wszystkich kont administratorów.
  6. Przejrzyj ostatnią aktywność administratorów w poszukiwaniu oznak nieautoryzowanych działań.
  7. Przeprowadź pełne skanowanie złośliwego oprogramowania i integralności plików.
  8. Audytuj konta użytkowników i usuń nieaktualnych administratorów.
  9. Wykonaj kopię zapasową bieżącego środowiska i przechowuj bezpieczną kopię do analizy.
  10. Monitoruj logi DB i serwera WWW w poszukiwaniu podejrzanych zapytań i zachowań.
  11. Wprowadź białą listę IP dla wp‑admin, gdzie to możliwe.
  12. Użyj WAF do wirtualnego łatania i blokowania podejrzanych POST-ów administratorów.
  13. Upewnij się, że wtyczki/motywy są regularnie aktualizowane.
  14. Dokumentuj i ćwicz kroki reagowania na incydenty i odzyskiwania.
  15. W przypadku kompromitacji, izoluj, zachowaj dowody i skontaktuj się z profesjonalistą.

Co powinny zrobić zespoły hostingowe i resellerzy

  • Priorytetowo traktuj łatanie dla zarządzanych klientów korzystających z wtyczki.
  • Oferuj pomoc w aktualizacjach i skanowaniu dla klientów bez wiedzy technicznej.
  • Rozważ tymczasowe zablokowanie wtyczki dla nowych instalacji, aż łatki zostaną zastosowane.
  • Udzielaj wskazówek klientom na temat higieny poświadczeń i 2FA.
  • Monitoruj nietypowe wzrosty zapytań do bazy danych w systemach klientów.

Rozważania prawne, dotyczące prywatności i powiadomień

Jeśli dane klientów lub informacje osobiste zostały uzyskane, możesz mieć obowiązki regulacyjne w zależności od swojej jurysdykcji (na przykład, przepisy dotyczące powiadamiania o naruszeniu danych). Udokumentuj swoje ustalenia i harmonogram, a w przypadku możliwości ujawnienia danych osobowych skonsultuj się z prawnikiem.


Jak WP‑Firewall pomaga chronić Twoją stronę

W WP‑Firewall podchodzimy do takich incydentów z praktycznymi, warstwowymi kontrolami:

  • Zarządzany WAF z ukierunkowanymi zasadami, aby zapobiegać znanym wzorom wykorzystania.
  • Wirtualne łatanie, abyśmy mogli blokować próby wykorzystania nawet przed zastosowaniem poprawek przez właścicieli witryn.
  • Skanowanie złośliwego oprogramowania i zautomatyzowane opcje usuwania dla usuniętych zagrożeń.
  • Funkcje wzmacniania administracyjnego, biała lista IP i monitorowanie aktywności.
  • Ciągłe monitorowanie ryzyk OWASP Top 10 i dostosowane raportowanie.

Jeśli jesteś odpowiedzialny za wiele witryn klientów, nasze usługi zarządzane mogą zdjąć z Twoich ramion operacyjne obciążenie podczas takich wybuchów.


Zabezpiecz swoją stronę WordPress już dziś — zacznij od naszego darmowego planu ochrony

Ochrona Twojej witryny przed zagrożeniami takimi jak CVE‑2026‑7046 nie musi być kosztowna ani skomplikowana. Podstawowy plan WP‑Firewall (darmowy) zapewnia natychmiastową, niezbędną ochronę:

  • Zarządzany firewall i zapora aplikacji internetowej (WAF)
  • Nieograniczona przepustowość
  • Skaner złośliwego oprogramowania
  • Łagodzenie ryzyk OWASP Top 10

Jest idealny dla właścicieli witryn, którzy chcą skutecznej ochrony podstawowej podczas planowania i testowania aktualizacji wtyczek. Dowiedz się więcej i zarejestruj się w darmowym planie tutaj:
https://my.wp-firewall.com/buy/wp-firewall-free-plan/

(Jeśli potrzebujesz automatycznego usuwania, zaawansowanych kontroli lub miesięcznych raportów bezpieczeństwa, zapoznaj się z naszymi planami Standard i Pro. Ale zacznij od darmowego planu, aby uzyskać natychmiastową ochronę.)


Ostateczne przemyślenia

Ta iniekcja SQL NEX‑Forms jest wyraźnym przypomnieniem: luki, które wymagają dostępu administracyjnego, są nadal poważne. Napastnicy mogą łączyć kradzież poświadczeń z słabościami wtyczek, aby eskalować i utrzymywać dostęp. Właściwe priorytety są proste i pilne: łataj, ogranicz dostęp, monitoruj i przygotuj się na reakcję na incydenty.

Jeśli zarządzasz witrynami WordPress na dużą skalę, włącz bezpieczeństwo do swoich procesów operacyjnych — regularne inwentaryzacje wtyczek, zautomatyzowane aktualizacje tam, gdzie to bezpieczne, 2FA i WAF, który może stosować wirtualne łaty w krytycznych oknach. Jeśli potrzebujesz pomocy w wdrażaniu tych kontroli, usługi zarządzane WP‑Firewall są zaprojektowane, aby szybko zmniejszyć ryzyko, podczas gdy wykonujesz potrzebne prace konserwacyjne, aby utrzymać swoje witryny w dobrej kondycji.

Dla odniesienia i śledzenia: CVE‑2026‑7046 to identyfikator przypisany do tej luki. Jeśli koordynujesz harmonogram łatania w wielu witrynach, uczynij to swoim najwyższym priorytetem. Dane Twojej witryny, czas działania i reputacja na tym polegają.

Bądź bezpieczny — a jeśli chcesz szybko uzyskać ochronę podczas łatania, zacznij od darmowego planu WP‑Firewall: https://my.wp-firewall.com/buy/wp-firewall-free-plan/


Dalsza lektura i zasoby

  • Wpis CVE: CVE-2026-7046
  • WordPress: Najlepsze praktyki dotyczące bezpiecznych wtyczek i zarządzania użytkownikami (zobacz dokumentację WordPress.org w celu uzyskania przewodników dotyczących wzmacniania)
  • Jeśli potrzebujesz pomocy, skontaktuj się ze swoim dostawcą hostingu lub wykwalifikowanym specjalistą ds. bezpieczeństwa WordPress.

wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz
!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.