Число уязвимостей в веб-приложениях во II квартале выросло почти на 60% — исследование
Во втором квартале 2025 года число обнаруженных уязвимостей в популярных веб-приложениях выросло на 58% в сравнении с кварталом ранее, сообщает ГК «Солар» в понедельник.
Больше всего уязвимостей найдено в плагинах для создания сайтов WordPress, а также в различных роутерах и другом телеком-оборудовании. Таковы выводы обзора, подготовленного экспертами центра исследования киберугроз Solar 4RAYS. Полученная информация будет использована для создания обновленных правил обнаружения в продуктах и сервисах «Солара», говорится в сообщении.
См. также: ИБ-эксперты зафиксировали рост критических уязвимостей в WordPress весной 2025 >>>
В обзор вошла статистика по новым уязвимостям и proof-of-concept (ранняя реализация угрозы, которая использует недавно обнаруженные уязвимости) в более чем 120 продуктах – популярных приложениях, сетевом оборудовании и т.п. Информация получена из открытых источников: Telegram-каналов об информационной безопасности, статей исследователей безопасности и т.д. По результатам анализа эксперты Solar 4RAYS обнаружили 215 уязвимостей, что почти на 60% больше, чем в предыдущем квартале.
Абсолютное большинство найденных уязвимостей (89%) имеют сетевой вектор (их эксплуатация проходит через сетевые протоколы, например — HTTP, SSH, SMB и т.д.). При этом их доля за квартал выросла почти на 10 п.п. Значительный прирост случился преимущественно из-за большего количества обнаруженных уязвимостей в WordPress и плагинов для этой платформы. Остальные же уязвимости относятся к локальным, иными словами – располагаются на операционной системе или приложении на пользовательском устройстве. Большая часть (60%) обнаруженных сетевых уязвимостей имели высокий уровень критичности.
Самыми незащищёнными продуктами cтала экосистема для создания сайтов WordPress и её плагины – на них пришлось 24% всех найденных уязвимостей. Это можно связать с популярностью платформы WordPress, для которой выпускается множество плагинов и с помощью которой создаётся множество сайтов – начиная с небольших интернет-магазинов и заканчивая порталами госструктур.
На втором месте по числу уязвимостей (7%) – роутеры и другое сетевое оборудование. Например, была обнаружена уязвимость CVE-2025-40634 в роутерах TP-Link, который имеет уровень крайне высокий критичности 9,2 и позволяет атакующему исполнять произвольный код через LAN или WAN-соединения. На третьем месте (4%) продукты Apache – свободного ПО, с помощью которого можно создать веб-серверы.
По типу уязвимостей во втором квартале лидируют межсайтовый скриптинг (XSS), иными словами — внедрение вредоносного кода в доверенные веб-сайты (12%), неограниченная загрузка вредоносных файлов (11%) и обход директорий (5%).