BI.ZONE WAF: количество веб‑уязвимостей зимой увеличилось более чем в 2 раза по сравнению с осенними показателями

Около 1500 новых уязвимостей появлялось каждый месяц в зимний период — 2024/25

7 апреля 2025 г.

По данным BI.ZONE WAF, в период с декабря по февраль было обнаружено более 4000 новых уязвимостей в веб-приложениях. Больше трети из них потенциально представляют высокую или критическую опасность для веб-приложений. По сравнению с осенними показателями количество высококритичных уязвимостей выросло на 10% и составило около 1500.

Примеры эксплуатации порядка 50 уязвимостей высокого и критического уровня были доступны в открытых источниках. Это означает, что каждую неделю злоумышленники получали в среднем по четыре примера эксплуатации для построения атак.

Большинство обнаруженных зимних уязвимостей высокого и критического уровня опасности позволяют похитить данные пользователей (20%) и открывают доступ к базам данных (12%). В топ‑5 наиболее часто встречающихся уязвимостей за зимний период вошли XSS, SQL‑инъекции, CSRF, privilege escalation и RCE. Последняя (удаленное выполнение кода) — самая серьезная и распространенная угроза для веб-приложений. Таких уязвимостей стало в 2 раза больше по сравнению с осенними показателями.

Существенный рост количества уязвимостей может быть связан с сезонностью, так как традиционно компании выпускают новые релизы продуктов до новогодних праздников. Этой зимой мы заметили большое количество уязвимостей в WordPress‑плагинах с SQL‑инъекциями.

В подобных условиях командам, которые отвечают за безопасность веб‑приложений, необходимо максимально оперативно обновлять программное обеспечение или применять иные способы митигации угроз. Другим решением может стать BI.ZONE WAF, который позволяет своевременно блокировать вредоносные запросы к уязвимым веб‑приложениям.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности