BI.ZONE WAF: количество веб-уязвимостей зимой увеличилось более чем в 2 раза по сравнению с осенними показателями

Около 1500 новых уязвимостей появлялось каждый месяц в зимний период — 2024/2025.

7 апреля 2025 г.

По данным BI.ZONE WAF, в период с декабря по февраль было обнаружено более 4000 новых уязвимостей в веб-приложениях. Больше трети из них потенциально представляют высокую или критическую опасность для веб-приложений. По сравнению с осенними показателями количество высококритичных уязвимостей выросло на 10% и составило около 1500.

Примеры эксплуатации порядка 50 уязвимостей высокого и критического уровня были доступны в открытых источниках. Это означает, что каждую неделю злоумышленники получали в среднем по четыре примера эксплуатации для построения атак.

Большинство обнаруженных зимних уязвимостей высокого и критического уровня опасности позволяют похитить данные пользователей (20%) и открывают доступ к базам данных (12%). В топ-5 наиболее часто встречающихся уязвимостей за зимний период вошли XSS, SQL Injection, CSRF, Privilege Escalation и RCE. Последняя (удаленное выполнение кода) — самая серьезная и распространенная угроза для веб-приложений. Таких уязвимостей стало в 2 раза больше по сравнению с осенними показателями.

Существенный рост количества уязвимостей может быть связан с сезонностью, так как традиционно компании выпускают новые релизы продуктов до новогодних праздников. Этой зимой мы заметили большое количество уязвимостей в WordPress-плагинах с SQL-инъекциями.

В подобных условиях командам, которые отвечают за безопасность веб-приложений, необходимо максимально оперативно обновлять программное обеспечение или применять иные способы митигации угроз. Другим решением может стать BI.ZONE WAF, который позволяет своевременно блокировать вредоносные запросы к уязвимым веб-приложениям.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности