Критических уязвимостей стало больше на треть: PHP и WordPress под ударом

Количество опасных уязвимостей в IT‑системах продолжает расти. Весна 2025 года показала тревожный тренд: резкий рост числа критических CVE, увеличение числа публичных PoC и смещение в сторону более опасных векторов атак. Под удар попали PHP‑решения и WordPress, а среди методов атак лидируют SQL‑инъекции. За весну было зафиксировано почти пять тысяч новых CVE.

По данным команды BI.ZONE WAF, с марта по май 2025 года количество критических уязвимостей выросло на 30% по сравнению с зимой. За то же время на 26% увеличилось число публичных PoC‑эксплоитов, то есть список доступных сценариев атак пополнился.

Наиболее уязвимыми остаются стек PHP и CMS‑решения, разработанные на его основе. В числе лидеров по количеству критических уязвимостей — экосистема WordPress, ее плагины и специализированные сборки. Всего в весеннем отчете выявлены 222 критические уязвимости в PHP‑решениях, из них 99 приходится на WordPress.

Весной изменились тренды в типах атак: SQL‑инъекции заняли первое место, обогнав XSS. Зарегистрировали 521 критическую уязвимость с использованием SQL‑инъекций и только 402 уязвимости на базе XSS.

Среди уязвимых решений — плагины WordPress, промышленное ПО для АСУ ТП, а также готовые проекты open-source на PHP. В их числе — phpgurukul для начинающих разработчиков и студентов, осваивающих веб‑разработку, и projectworlds для учебных и курсовых задач с авторизацией, CRUD‑функциональностью и работой с базами данных.