07/04/25
Около 1500 новых уязвимостей появлялось каждый месяц в зимний период — 2024/2025.
По данным BI.ZONE WAF, в период с декабря по февраль было обнаружено более 4000 новых уязвимостей в веб-приложениях. Больше трети из них потенциально представляют высокую или критическую опасность для веб-приложений. По сравнению с осенними показателями количество высококритичных уязвимостей
выросло на 10% и составило около 1500.
Примеры эксплуатации порядка 50 уязвимостей высокого и критического уровня были доступны в открытых источниках. Это означает, что каждую неделю злоумышленники получали в среднем по четыре примера эксплуатации для построения атак.
Большинство обнаруженных зимних уязвимостей высокого и критического уровня опасности позволяют похитить данные пользователей (20%) и открывают доступ к базам данных (12%). В топ-5 наиболее часто встречающихся уязвимостей за зимний период вошли XSS, SQL Injection, CSRF, Privilege Escalation и RCE.
Последняя (удаленное выполнение кода) — самая серьезная и распространенная угроза для веб-приложений. Таких уязвимостей стало в 2 раза больше по сравнению с осенними показателями.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности, BI.ZONE:
Существенный рост количества уязвимостей может быть связан с сезонностью, так как традиционно компании выпускают новые релизы продуктов до новогодних праздников. Этой зимой мы заметили большое количество уязвимостей в WordPress-плагинах с SQL-инъекциями. В подобных условиях командам, которые отвечают за безопасность веб-приложений, необходимо максимально оперативно обновлять программное обеспечение или применять иные способы митигации угроз. Другим решением может стать BI.ZONE WAF, который позволяет своевременно блокировать вредоносные запросы к уязвимым веб-приложениям.
