Templately Wskazówki dotyczące ujawnienia danych wrażliwych//Opublikowano 2026-04-27//CVE-2026-42379

ZESPÓŁ DS. BEZPIECZEŃSTWA WP-FIREWALL

Templately CVE-2026-42379 Vulnerability

Nazwa wtyczki Templately
Rodzaj podatności Ekspozycja danych wrażliwych
Numer CVE CVE-2026-42379
Pilność Wysoki
Data publikacji CVE 2026-04-27
Adres URL źródła CVE-2026-42379

Wtyczka Templately do WordPressa <= 3.6.1 — Ujawnienie danych wrażliwych (CVE-2026-42379): Co właściciele stron muszą teraz zrobić

Streszczenie

Niedawno ujawniono lukę w wtyczce Templately do WordPressa (dotyczącą wersji <= 3.6.1), która może prowadzić do ujawnienia danych wrażliwych. Problem został przypisany do CVE-2026-42379 i naprawiony w wersji 3.6.2. Sedno problemu: nieautoryzowany lub niewystarczająco uprawniony użytkownik (raporty wskazują, że wymagane uprawnienie to “Współpracownik”) mógł uzyskać dostęp do informacji, które nie powinny były być ujawnione dla tej roli. Może to umożliwić atakującym zbieranie danych, które pomagają w eskalacji ataków na stronę lub jej użytkowników.

W tym komunikacie (napisanym z perspektywy zespołu WP‑Firewall) omówimy:

  • wyjaśnimy lukę i ryzyko w rzeczywistości,
  • przedstawimy, jak atakujący mogą ją wykorzystać,
  • podamy konkretne kroki wykrywania i wskaźniki kompromitacji (IoCs),
  • zapewnimy praktyczne środki zaradcze, gdy nie możesz natychmiast zaktualizować (w tym zasady WAF/wirtualnych poprawek),
  • opiszemy kroki wzmacniające i wskazówki dotyczące odzyskiwania, jeśli podejrzewasz wykorzystanie,
  • wyjaśnimy, jak WP‑Firewall pomaga chronić Twoją stronę (w tym opcję ochrony bez kosztów).

To jest napisane dla programistów, właścicieli stron i zespołów bezpieczeństwa hostingu — praktyczne, bezpośrednie i wykonalne.

Szczegóły techniczne (co się stało)

  • Oprogramowanie dotknięte: wtyczka Templately do WordPressa
  • Dotknięte wersje: <= 3.6.1
  • Wersja z poprawką: 3.6.2
  • Typ luki: Ujawnienie danych wrażliwych (OWASP A3)
  • CVE: CVE-2026-42379
  • Wymagane uprawnienie (zgłoszone): Współpracownik
  • Zgłoszona powaga: średnia/wysoka w praktyce — autorzy poprawek ocenili ją na taką, że zgłoszony numer CVSS był stosunkowo wysoki z powodu wrażliwości danych, chociaż atak wymaga pewnego uwierzytelnionego dostępu.

Krótko mówiąc: punkt końcowy lub ścieżka kodu wewnątrz wtyczki ujawniała informacje, które powinny były być ograniczone (na przykład wartości konfiguracyjne, metadane użytkowników, adresy e-mail, tokeny, dane podglądu lub inne informacje specyficzne dla strony). Projekt lub kontrola dostępu były niewystarczające, co pozwoliło użytkownikowi z ograniczonymi uprawnieniami na pobranie danych wykraczających poza ich autoryzację.

Dlaczego to ma znaczenie

Ujawnienie danych wrażliwych dostarcza atakującym materiału, który często jest ponownie wykorzystywany do rozszerzenia ataków:

  • adresy e-mail, klucze API, tokeny integracyjne lub treści szablonów mogą zawierać sekrety lub linki do innych usług,
  • znajomość wewnętrznych ścieżek, flag debugowania lub flag funkcji pomaga w tworzeniu bardziej precyzyjnych exploitów,
  • w połączeniu z innymi lukami, ujawnione dane mogą być użyte do eskalacji uprawnień lub przejścia do innych systemów.

Nawet gdy początkowy dostęp wymaga konta uwierzytelnionego o niskich uprawnieniach (Współpracownik), wiele stron WordPress pozwala na rejestrację użytkowników lub ma wiele kont o niższych uprawnieniach, co stanowi praktyczne ryzyko dla dużej liczby stron.

Scenariusze exploitów (realistyczne zagrożenia)

  • Złośliwy użytkownik o niskich uprawnieniach (konto współpracownika spamującego, skompromitowane dane uwierzytelniające współpracownika) zapytuje o podatny punkt końcowy, aby zebrać adresy e-mail, identyfikatory autorów lub identyfikatory szablonów, które pomagają w enumeracji zasobów o wyższej wartości.
  • Zautomatyzowane boty rejestrują konta na poziomie współpracownika (jeśli rejestracja jest dozwolona) i badają punkty końcowe wtyczek, aby zbierać ujawnione dane na dużą skalę.
  • Napastnicy łączą ujawnione dane z inną słabością (np. przewidywalne ścieżki plików, przestarzałe kopie zapasowe odniesione przez metadane szablonów), aby odzyskać pliki konfiguracyjne lub wrażliwe zasoby.

Wykrywanie — na co zwracać uwagę w logach

Jeśli badasz potencjalne nadużycia, przeglądaj logi pod kątem:

  • Żądań do punktów końcowych specyficznych dla wtyczek (np. adresy URL folderów wtyczek, trasy REST API zarejestrowane przez wtyczkę lub punkty końcowe AJAX) z uwierzytelnionych kont, które są Współpracownikami lub mają niższe uprawnienia.
  • Nieoczekiwany dostęp do punktów końcowych zwracających JSON lub ładunki szablonów z tożsamości nie-administracyjnych.
  • Podejrzany wzrost żądań do punktów końcowych wtyczki, szczególnie z jednego adresu IP lub zestawu adresów IP w krótkim czasie.
  • Żądania z nietypowymi parametrami zapytania lub powtarzające się wywołania do punktów końcowych, które normalnie otrzymują tylko ruch administracyjny.
  • Jakiekolwiek dowody na to, że wrażliwe tokeny lub e-maile są zawarte w odpowiedziach — jeśli znajdziesz takie treści w logach serwera lub odpowiedziach w pamięci podręcznej, traktuj to jako IoC.

Przykładowe wzorce logów do wyszukiwania (dostosuj do swojego środowiska):

  • Dostęp do /wp-content/plugins/templately/* z odpowiedziami HTTP 200, gdzie identyfikator użytkownika żądającego nie jest administratorem.
  • Żądania do trasy REST API lub wp-admin/admin-ajax.php z nazwami akcji, które odpowiadają akcjom dostarczonym przez wtyczkę.
  • Odpowiedzi, które zawierają ciągi takie jak “api_key”, “token”, “secret”, “email”, “password” (uważaj podczas przeszukiwania logów z powodu prywatności — używaj odpowiedzialnego podejścia).

Natychmiastowe kroki — krótka lista kontrolna (właściciele stron)

  1. Natychmiast zaktualizuj wtyczkę do wersji 3.6.2 (lub nowszej), jeśli możesz. To jedyne długoterminowe rozwiązanie.
  2. Jeśli nie możesz dokonać aktualizacji natychmiast:
    • Zastosuj wirtualne łatanie za pomocą swojego WAF (zobacz sugerowane zasady WAF poniżej).
    • Ogranicz dostęp do punktów końcowych wtyczek tylko dla zaufanych kont (tylko administrator) za pomocą zasad na poziomie serwera lub aplikacji.
    • Usuń wszelkich niezaufanych użytkowników o niskich uprawnieniach (współautorów lub autorów, których nie rozpoznajesz).
  3. Zmień wszelkie ujawnione dane uwierzytelniające, jeśli odkryjesz je w logach lub treści witryny.
  4. Przeprowadź audyt ostatniej aktywności użytkowników dla kont współautorów w okresie od momentu wystąpienia luki.
  5. Upewnij się, że kopie zapasowe są tworzone i izolowane przed jakimikolwiek krokami naprawczymi, które mogą zmienić witrynę.

Uaktualnienie (poprawne długoterminowe rozwiązanie)

Zawsze preferuj aktualizację wtyczek do wersji poprawionej. Kroki:

  1. Utwórz kopię zapasową swojej witryny (pliki + baza danych).
  2. W środowisku testowym zaktualizuj Templately do 3.6.2 i przetestuj krytyczne procesy (ładowanie szablonów, importy, funkcjonalność edytora).
  3. Jeśli testy zakończą się sukcesem, zaplanuj okno konserwacyjne i zaktualizuj produkcję.
  4. Po aktualizacji sprawdź logi pod kątem nowych akcji POST/GET i obserwuj błędy.

Jeśli zarządzasz hostem zarządzanym lub masz zespół operacyjny, skoordynuj aktualizację z nimi.

Łagodzenia, gdy nie możesz zaktualizować natychmiast

Jeśli aktualizacja jest zablokowana z powodu zgodności lub harmonogramu, tymczasowo zastosuj jedno lub więcej z następujących łagodzeń.

A) Odrzuć/Ogranicz punkty końcowe wtyczek

  • Zablokuj żądania sieciowe do folderu wtyczek lub znanych punktów końcowych dla użytkowników niebędących administratorami.
  • Przykład zasad .htaccess (Apache) do odmowy publicznego dostępu do folderu wtyczek (używaj ostrożnie; wykonaj kopię zapasową przed modyfikacją):
# Zablokuj bezpośredni dostęp do zawartości folderu wtyczek

Jeśli używasz Nginx, utwórz równoważny blok lokalizacji, aby zwrócić 403 dla pasujących ścieżek.

B) Wymuszaj kontrole uprawnień na poziomie aplikacji

  • Dodaj mały plugin lub fragment kodu w functions.php swojego motywu, aby przechwycić punkty końcowe REST lub AJAX pluginu i wymusić uprawnienia tylko dla administratorów.
  • Przykład (koncepcyjny — dostosuj do rzeczywistych nazw punktów końcowych używanych przez plugin):
add_action( 'rest_api_init', function() {

function wpf_check_templately_permission( $request ) {.

Uwaga: Musisz zidentyfikować dokładne nazwy tras, które rejestruje plugin. Powyższe to wzór, który możesz dostosować.

  • C) WAF / Wirtualne Łatanie (zalecane, jeśli masz WAF).
  • Dodaj zasady, które blokują żądania pasujące do wzorców punktów końcowych pluginu, chyba że żądanie pochodzi z adresu IP administratora lub zawiera ważny plik cookie sesji administratora.
  • Ogranicz lub zablokuj wiele sekwencyjnych żądań z tego samego adresu IP do punktów końcowych pluginu.

Usuń lub zablokuj podejrzane parametry, które plugin używa do zwracania wrażliwych danych (nie łam przypadkowo funkcjonalności witryny).

Sugerowane zasady i sygnatury WAF.

  1. Poniżej znajdują się ogólne wzorce, które możesz dodać do swojego WAF (przekształć na składnię swojego silnika WAF). Są one celowo konserwatywne, aby zminimalizować fałszywe alarmy; najpierw przetestuj w trybie blokowania.
    • Zablokuj GET/POST do punktów końcowych pluginu tylko dla administratorów dla nie-administratorów
    • Dopasuj URI: ^/wp-admin/admin-ajax\.php$ z parametrem zapytania action=templately_.* lub action=tpl_.* i bez pliku cookie administratora.
  2. Jeśli plik cookie „wordpress_logged_in” istnieje, wymagana jest kontrola uprawnień użytkownika (trudniejsze dla WAF; użyj inspekcji sesji lub połącz z blokowaniem IP).
    • Ograniczenie liczby żądań dla punktów końcowych pluginu.
  3. Jeśli pojedynczy adres IP wysyła > 20 żądań do tras templately w ciągu 60 sekund → ogranicz lub zablokuj na 10 minut.
    • Odrzuć podejrzane wzorce parametrów zapytania.

Jeśli odpowiedź lub żądanie zawiera podejrzane parametry, takie jak callback=fetch_template_data lub template_id w połączeniu z sesją nie-administratora, zablokuj.

Przykład pseudo-reguły ModSecurity (dla zespołów używających ModSecurity):"

# Zablokuj akcje ajax templately z nie-administratorskich adresów IP (pseudo).

WP‑Firewall wirtualne łatanie

Jeśli używasz WP‑Firewall, nasza usługa wirtualnego łatania może szybko wdrożyć regułę, która celuje w dokładne punkty końcowe i zestawy parametrów zidentyfikowane w podatności, bez modyfikacji kodu wtyczki. Wirtualne łatanie to tymczasowa warstwa ochronna, która:

  • blokuje podatne wzorce żądań na krawędzi sieci,
  • zapobiega wyciekom danych podczas planowania odpowiedniej aktualizacji wtyczki,
  • zapewnia rejestrowanie i powiadomienia o próbach nadużyć, abyś mógł przeprowadzić dochodzenie.

Jeśli jesteś zainteresowany natychmiastową ochroną, nasz darmowy plan podstawowy obejmuje zarządzany firewall i funkcje WAF (zobacz akapit poniżej, aby dowiedzieć się więcej o rejestracji). Jeśli masz już konto, włącz wirtualne łatanie dla punktów końcowych templately przez panel WP‑Firewall i ustaw regułę w trybie blokowania po przetestowaniu.

Jeśli nie używasz WP‑Firewall, wdroż rekomendacje WAF powyżej w swoim panelu sterowania hostingiem, odwrotnym proxy lub firewallu.

Wskaźniki kompromitacji (IoCs)

Jeśli podejrzewasz, że twoja strona była celem przed łatanie, szukaj:

  • Nowych lub zmodyfikowanych postów, szablonów lub załączników, których nie stworzyłeś.
  • Dowodów w logach dostępu: powtarzające się dostępy do punktów końcowych templately przez konta współautorów/autora lub nieznane adresy IP.
  • Połączeń wychodzących inicjowanych przez WordPress do nieznanych punktów końcowych po wywołaniu punktów końcowych templately (może wskazywać na procesy wycieków danych).
  • Jakichkolwiek wyciekłych tokenów lub poświadczeń pojawiających się w treści strony, szkicach lub niedawno utworzonych postach.

Jeśli znajdziesz IoC, zbierz logi (logi serwera, wtyczek i aplikacji) i zachowaj je offline przed wprowadzeniem zmian. To pomaga w analizie kryminalistycznej.

Kroki odzyskiwania po eksploatacji

  1. Zrób świeżą kopię zapasową (pliki + DB) do zachowania w celach kryminalistycznych.
  2. Zmień potencjalnie narażone poświadczenia (klucze API, tokeny integracyjne, tokeny OAuth, hasła SMTP).
  3. Zresetuj hasła dla kont administracyjnych i współautorów.
  4. Usuń lub zawieś podejrzane konta użytkowników.
  5. Przeskanuj stronę w poszukiwaniu złośliwego oprogramowania i wskaźników trwałych tylni drzwi (sprawdzanie integralności plików, narzędzia skanujące).
  6. Jeśli wykryto infekcję, przywróć z czystej kopii zapasowej datowanej przed kompromitacją, a następnie zaktualizuj wtyczki i wzmocnij konfigurację przed ponownym wprowadzeniem strony.
  7. Powiadom dotkniętych użytkowników, jeśli wrażliwe dane osobowe zostały ujawnione (weź pod uwagę obowiązki prawne w swojej jurysdykcji).

Wskazówki dla deweloperów (dla autorów wtyczek i deweloperów motywów)

Jeśli jesteś autorem wtyczki lub deweloperem motywu, wyciągnij wnioski:

  • Wymuszaj kontrole uprawnień w każdym punkcie końcowym dostarczającym dane (REST, AJAX, admin-ajax itp.). Poleganie na “ukrytym” punkcie końcowym nie jest kontrolą dostępu.
  • Nigdy nie ufaj implikowanym rolom uwierzytelnionym. Mapuj operacje do wyraźnych uprawnień (np. manage_options lub niestandardowe kontrole uprawnień).
  • Unikaj osadzania sekretów, tokenów lub wartości konfiguracyjnych w odpowiedziach JSON serwowanych użytkownikom niebędącym administratorami.
  • Używaj nonce'ów poprawnie (i waliduj je po stronie serwera), szczególnie dla działań zmieniających stan.
  • Dokumentuj i testuj kontrolę dostępu dla wszystkich punktów końcowych, w tym testy jednostkowe i integracyjne, które weryfikują ograniczenia dostępu dla kont o niższych uprawnieniach.

Jak hosty i agencje powinny reagować

  • Blokuj trasy specyficzne dla wtyczek na krawędzi hostingu, gdzie to możliwe.
  • Powiadom dotkniętych klientów i podaj harmonogram działań naprawczych.
  • Oferuj pomoc w wirtualnym łatach i aktualizacjach awaryjnych.
  • Monitoruj wzrosty ruchu do podatnych punktów końcowych na wszystkich hostowanych stronach i powiadamiaj klientów.

Często zadawane pytania (FAQ)

P: Czy to jest problem zdalnego wykonania kodu?
O: Nie — to jest problem z ujawnieniem wrażliwych danych. Nie zapewnia bezpośredniego wykonania kodu, ale ujawnione dane mogą ułatwić dalsze ataki, które mogą prowadzić do większych skutków.

P: Kto może to wykorzystać?
O: Raporty wskazują, że użytkownik uwierzytelniony o niskich uprawnieniach (Współpracownik) mógłby uzyskać dostęp do danych. Jeśli rejestracja jest otwarta lub konta współpracowników są powszechne, zwiększa to praktyczność dla atakujących.

P: Czy po prostu wyłączenie wtyczki to naprawi?
O: Tak — wyłączenie lub usunięcie podatnej wtyczki zapobiega wykorzystaniu tej ścieżki kodu. Ale wyłączenie może zepsuć funkcjonalność strony; lepiej jest zaktualizować. Jeśli wyłączysz, zrób kopie zapasowe i przeprowadź audyt później.

P: Czy powinienem rotować wszystkie moje klucze?
A: Rotuj wszelkie klucze lub tokeny, które wydają się być narażone. Jeśli nie możesz określić narażenia, rozważ rotację kluczy o wysokiej wartości jako środek ostrożności.

Dlaczego WAF i wirtualne łatanie mają znaczenie

Dobrze zarządzany WAF daje ci warstwę obrony, która może:

  • zatrzymać próby wykorzystania na krawędzi sieci, niezależnie od tego, czy strona została zaktualizowana,
  • zapewnić logowanie, aby ostrzec cię o celowym skanowaniu i atakach,
  • zmniejszyć okno narażenia podczas testowania i wdrażania aktualizacji wtyczki.

W WP‑Firewall łączymy automatyczne wdrażanie reguł z ludzką triage, aby zminimalizować fałszywe alarmy i szybko wprowadzać reguły ochronne dla powszechnie używanych luk. Wirtualne łatanie nie jest zastępstwem dla właściwych aktualizacji — ale jest ważnym rozwiązaniem tymczasowym, gdy nie możesz natychmiast załatać dużej liczby stron.

Chroń swoją stronę z WP‑Firewall (Dostępny plan darmowy)

Zacznij od Ochrony Podstawowej — WP‑Firewall Podstawowy (Darmowy) Plan

Jeśli zarządzasz stronami WordPress i chcesz natychmiastowej warstwy ochronnej podczas planowania aktualizacji, rozważ zapisanie się do planu WP‑Firewall Podstawowy (Darmowy) pod adresem: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Dlaczego to jest teraz przydatne:

  • Niezbędna ochrona: zarządzany zapora, która zapewnia kontrolę WAF do blokowania znanych złośliwych wzorców żądań.
  • Nielimitowana przepustowość: chroń strony o dużym ruchu bez dodatkowych kosztów.
  • Skaner złośliwego oprogramowania i łagodzenie ryzyk OWASP Top 10: automatyczne skany, które mogą pomóc w identyfikacji wtórnych ryzyk.
  • Szybkie wdrażanie: uzyskaj zastosowane reguły wirtualnego łatania podczas testowania i wdrażania aktualizacji wtyczek.

Jeśli potrzebujesz dodatkowych możliwości obronnych (automatyczne czyszczenie złośliwego oprogramowania, czarna/biała lista IP lub miesięczne raportowanie bezpieczeństwa), nasze płatne poziomy oferują te funkcje — ale plan darmowy zapewnia natychmiastową podstawową ochronę bez kosztów.

Najlepsze praktyki i lista kontrolna wzmacniania

  • Utrzymuj aktualne rdzenie WordPress, motywy i wtyczki. Planuj regularne audyty i używaj środowisk stagingowych do aktualizacji.
  • Ogranicz rejestrację i automatycznie przeglądaj nowe konta o niskich uprawnieniach.
  • Używaj uwierzytelniania dwuskładnikowego dla kont z podwyższonymi uprawnieniami.
  • Ogranicz liczbę użytkowników z rolami edytora/autora/wnioskodawcy i regularnie przeglądaj przypisania ról.
  • Wymuszaj minimalne uprawnienia dla kluczy API i integracji; nie umieszczaj tokenów o wysokich uprawnieniach w konfiguracji wtyczki dostępnej dla logiki wtyczki.
  • Regularnie twórz kopie zapasowe i testuj procedury przywracania.
  • Używaj WAF i ustawiaj powiadomienia o nietypowych wzorcach dostępu (szczyty, powtarzający się dostęp do punktów końcowych, nietypowe rozmiary odpowiedzi).

Zakończenie — perspektywa eksperta

Ta podatność jest użytecznym przypomnieniem: błędy w kontroli dostępu, które ujawniają dane, są często niedoceniane. Nawet gdy początkowy wektor dostępu wymaga uwierzytelnionego konta o niższych uprawnieniach, konsekwencje mogą być poważne, gdy wiele witryn lub automatyzacja sprawiają, że wykorzystanie jest tanie i skalowalne.

Naprawa wtyczki (aktualizacja do 3.6.2) jest właściwym i koniecznym krokiem. Ale dla operatorów witryn dodanie defensywnej postawy — WAF, wirtualne łatanie, rygorystyczne logowanie i audytowane konta użytkowników — minimalizuje okna narażenia i zapobiega oportunistycznym atakującym w przekształcaniu małych błędów w duże kompromisy.

Jeśli potrzebujesz pomocy w analizie logów, stosowaniu wirtualnych łatek lub przeprowadzaniu odzyskiwania po incydencie, wsparcie i usługi zarządzane WP‑Firewall są dostępne, aby pomóc. Jeśli dopiero zaczynasz, nasz plan Basic (bezpłatny) zapewnia natychmiastową zarządzaną ochronę WAF i skanowanie, abyś mógł zredukować ryzyko już dziś, podczas planowania aktualizacji.

Dodatek: szybki przegląd podsumowania

  • Dotknięte: wtyczka Templately <= 3.6.1
  • Poprawione w: 3.6.2
  • CVE: CVE-2026-42379
  • Ryzyko: Ujawnienie danych wrażliwych — średni/wysoki praktyczny wpływ
  • Natychmiastowa zalecana akcja: Zaktualizuj wtyczkę do 3.6.2; jeśli to niemożliwe, zastosuj wirtualne łatanie WAF i ogranicz punkty końcowe wtyczki.
  • Wykrywanie: Przejrzyj logi dostępu do punktów końcowych związanych z templately i aktywność konta współtwórcy.
  • Odzyskiwanie: Zachowaj logi, zmień narażone klucze, usuń podejrzanych użytkowników, zeskanuj i przywróć, jeśli to konieczne.

Jeśli chcesz, nasz zespół ds. bezpieczeństwa w WP‑Firewall może przejrzeć próbki twoich logów i zalecić dostosowany zestaw tymczasowych reguł dla twojego środowiska. Aby szybko uzyskać ochronę, którą można włączyć za darmo, zarejestruj się w planie WP‑Firewall Basic: https://my.wp-firewall.com/buy/wp-firewall-free-plan/

Autorzy

Zespół Bezpieczeństwa WP‑Firewall — praktycy specjalizujący się w bezpieczeństwie WordPressa, koncentrujący się na zaporach aplikacji internetowych, wirtualnym łatanie i reagowaniu na incydenty dla witryn WordPress o różnych rozmiarach.

Prawne i odpowiedzialne ujawnienie

Niniejsze zalecenie ma na celu pomoc właścicielom witryn i administratorom w zabezpieczeniu witryn WordPress. Nie zawiera kodu exploita ani instrukcji krok po kroku dotyczących nadużywania podatności. Jeśli uważasz, że odkryłeś dodatkowe problemy, skontaktuj się z dostawcą wtyczki lub kanałem odpowiedzialnego ujawnienia, zamiast publikować szczegóły exploita.


wordpress security update banner

Otrzymaj WP Security Weekly za darmo 👋
Zarejestruj się teraz
!!

Zarejestruj się, aby co tydzień otrzymywać na skrzynkę pocztową aktualizacje zabezpieczeń WordPressa.

Nie spamujemy! Przeczytaj nasze Polityka prywatności Więcej informacji znajdziesz tutaj.