По данным специалистов BI.ZONE WAF, в период с декабря 2024 года по февраль 2025 года было выявлено более 4000 новых уязвимостей в веб-приложениях. Больше трети из них представляют высокую или критическую опасность для веб-приложений. По сравнению с осенними показателями количество высококритичных уязвимостей выросло на 10% и составило около 1500.
Отмечается, что PoC примерно для 50 уязвимостей высокого и критического уровня были доступны в открытых источниках. То есть каждую неделю в среднем появлялось по четыре новых эксплоита, на которых злоумышленники могли основывать свои атаки.
Большинство обнаруженных уязвимостей представляли высокий и критический уровень опасности, позволяя похитить данные пользователей (20%) и открывая доступ к базам данных (12%).
В число наиболее часто встречающихся уязвимостей вошли XSS, SQL-инъекции, CSRF, эскалация привилегий и RCE. Последняя категория (удаленное выполнение кода, RCE) уязвимостей является самой серьезной и распространенной угрозой для веб-приложений. При этом исследователи отмечают, что таких уязвимостей стало в два раза больше по сравнению с осенними показателями.
«Существенный рост количества уязвимостей может быть связан с сезонностью, так как традиционно компании выпускают новые релизы продуктов до новогодних праздников. Этой зимой мы заметили большое количество уязвимостей в WordPress-плагинах с SQL-инъекциями, —комментирует Дмитрий Царев, руководитель управления облачных решений кибербезопасности. — В подобных условиях командам, которые отвечают за безопасность веб-приложений, необходимо максимально оперативно обновлять программное обеспечение или применять иные способы митигации угроз».
