По данным BI.ZONE WAF, в период с декабря 2024 года по февраль 2025 года в веб‑приложениях появлялось 1,5 тысячи уязвимостей в месяц. За зиму было обнаружено 4 тысячи уязвимостей. По сравнению с осенью 2024 года, уязвимостей стало в два раза больше.
1,5 тысячи из обнаруженных уязвимостей имеют высокий или критический уровень. Осенью таких было меньше на 10%. В открытых источниках были примеры эксплуатации 50 уязвимостей высокого и критического уровня. 20% уязвимостей позволяют похитить данные пользователей. 12% открывают доступ к базам данных.
Чаще всего встречались XSS, SQL Injection, CSRF, Privilege Escalation и RCE. Уязвимостей с удалённым выполнением кода стало в два раза больше зимой 2024/2025 годов, чем осенью 2024 года.
Руководитель управления облачных решений кибербезопасности BI.ZONE Дмитрий Царёв объяснил, что рост этих уязвимостей может быть связан с сезонностью. Компании выпускают новые релизы до новогодних праздников. По словам Царёва, зимой 2025 года было много уязвимостей в WordPress‑плагинах с SQL‑инъекциями.
4 апреля 2025 года специалисты BI.ZONE WAF рассказали, что с февраля 2025 года фиксируют рост атак на сайты WordPress. При этом после публикации исследования Sucuri, где подробно описана техника эксплуатации, обнаружен резкий всплеск активности злоумышленников — 250 попыток атак на 13 организаций за несколько дней.
Источник новости: habr.com
