Ежедневно эксперты Solar 4RAYS следят за появлением уязвимостей в распространенных веб-приложениях, а также эксплойтов под эти уязвимости. Мониторинг осуществляется для своевременного создания детектирующих логик, которые впоследствии реализуются в продуктах и сервисах Solar. Параллельно накапливается статистика, которая позволяет сформировать представление об изменениях в ландшафте угроз этого типа.
В 1-м квартале мы проанализировали более 100 сообщений о новых уязвимостях в более чем 70 продуктах и proof-of-concept для них. В этой статье расскажем о результатах нашего анализа.
Краткие результаты квартала:
- Средний уровень критичности обнаруженных уязвимостей: 7,7/10.
- Максимальный уровень обнаруженных уязвимостей: 10, минимальный — 2,7.
- Самые уязвимые продукты квартала: Wordpress и плагины, а также открытое ПО Kubernetes.
Всего стало известно о 124 уязвимостях. Почти 80% из них имеют «сетевой» вектор атаки.
Векторы уязвимостей в 1-м квартале 2025 года
Большая часть (72%) обнаруженных сетевых уязвимостей имели уровень критичности High и Critical.
Распределение уязвимостей по уровню критичности
Самые уязвимые продукты
Наибольшее число уязвимостей (и PoC для них) было раскрыто в CMS-платформе с открытым кодом Wordpress и плагинах для нее. За квартал было опубликовано 22 сообщения.
Самые уязвимые продукты в 1-м квартале 2025 года
Наиболее опасная из них — CVE-2025-22654. Плагин Simplified для Wordpress уязвим для неконтролируемой загрузки файлов опасного типа, что позволяет злоумышленникам загружать и использовать вредоносные файлы на сервере. Уровень критичности для этой уязвимости максимальный — 10/10.
Чтобы защититься от этой уязвимости, мы рекомендуем обновить версию плагина до более актуальной или, если обновление невозможно, запретить загрузку исполняемых файлов, например .php и .py.
Уязвимости в Kubernetes заняли второе место по итогам квартала. Стало известно о пяти PoC.
Наиболее критичная из них — CVE-2025-1974.
CVE-2025-1974 — это критическая уязвимость в компоненте admission controller Ingress NGINX Controller для Kubernetes, позволяющая неаутентифицированному злоумышленнику с доступом к сети подов выполнить произвольный код в контексте контроллера ingress-nginx. Уровень критичиности — 9,8. О данной уязвимости мы говорили в нашем телеграм-канале в посте об IngressNightmare.
Также в 1-м квартале опубликовали информацию о семи уязвимостях неправильного контроля доступа в Unifiedtransform — ПО для управления школой с открытым исходным кодом. Мы не включаем эту платформу в «общий зачет», поскольку речь идет о довольно нишевом продукте, который, по всей видимости, стал объектом пристального ИБ-исследования, в результате чего и стало известно об этих уязвимостях.
Среди прочих обнаруженных за квартал уязвимостей мы хотели бы выделить следующие.
CVE-2025-25279 (Mattermost). Критичность 9,9. Это критическая уязвимость в Mattermost, позволяющая злоумышленнику читать произвольные файлы в системе посредством импорта и экспорта специально сформированного архива в Boards.
CVE-2025-24893 (XWIKI). Критичность: 9,8. С помощью этой уязвимости любой пользователь может запустить произвольное удаленное выполнение кода (RCE) через запрос к SolrSearch. Уязвимы версии с 5.3-milestone-2 по 15.10.11 и с 16.0.0-rc-1 по 16.4.1. Мы писали о ней в телеграм-канале «Четыре луча».
CVE-2025-24016 (Wazuh). Критичность: 9,9. Это критическая уязвимость, связанная с небезопасной десериализацией в платформе Wazuh, предназначенной для предотвращения угроз, их обнаружения и реагирования на них. Подробнее о ней — в телеграм-канале.
CVE-2025-0108 (PAN-OS). Критичность: 8,8. Уязвимость позволяет неавторизованному злоумышленнику с сетевым доступом к веб-интерфейсу управления обходить аутентификацию и вызывать определенные PHP-скрипты.
CVE-2025-24813 (Apache Tomcat). Критичность: 9,8. Уязвимость, связанная с обработкой путей при использовании метода HTTP PUT. Она позволяет неаутентифицированному злоумышленнику запустить удаленное выполнение кода (RCE), раскрыть информацию или внедрить вредоносный контент на сервере.
CVE-2025-1094 (PostgreSQL). Критичность: 8,1. Уязвимость, связанная с некорректной нейтрализацией синтаксиса кавычек в функциях библиотеки libpq: PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn(). Эта уязвимость позволяет злоумышленнику выполнить SQL-инъекцию при определенных условиях. В частности, эксплуатация возможна, если результат работы этих функций используется для формирования ввода в интерактивный терминал PostgreSQL — psql.
CVE-2025-21385 (Microsoft Purview). Критичность: 8,8. Это уязвимость типа SSRF (Server-Side Request Forgery) в Microsoft Purview, позволяющая авторизованному злоумышленнику раскрывать информацию через сеть.
CVE-2025–29927 (Next.js). Критичность: 9,8. Уязвимость связана с некорректной обработкой внутреннего заголовка x-middleware-subrequest, который используется для предотвращения рекурсивных запросов и бесконечных циклов в middleware. Подробнее — в телеграм-канале.
Уязвимое оборудование
Помимо уязвимостей в ПО, в 1-м квартале опубликовали PoC под уязвимости в различном оборудовании: три уязвимости в роутерах — DZS (CVE-2025-26202), Tenda (CVE-2025-29384) и D-Link (CVE-2025-22968); уязвимость в сетевом коммутаторе FS Inc S3150-8T2F (CVE-2025-25612); уязвимость в устройстве видеонаблюдения с поддержкой IP-камер Edimax IC-7100 (CVE-2025-1316); а также уязвимость в системе биометрического контроля доступа ZKTeco ZKBio (CVE-2025-25369).
Уязвимости в роутерах Tenda и D-Link, а также в устройстве Edimax имеют высокий уровень критичности (от 9,3 до 9,8), поэтому, если такое оборудование присутствует в вашей инфраструктуре, не медлите с обновлением.
Наиболее эксплуатируемые типы уязвимостей
Типы уязвимостей в 1-м квартале 2025 года
Среди типов уязвимостей на первом месте (14 опубликованных proof-of-concept) — межсайтовый скриптинг. Характерным примером такой уязвимости в 1-м квартале была CVE-2025-1015 в адресной книге почтового клиента Mozilla Thunderbird (критичность: 5,4).
На втором месте месте (11 опубликованных proof-of-concept) — уязвимости неправильного контроля доступа. Однако 7 из них относятся к одному продукту — системе управления школой Unifiedtransform, так что выход этого типа уязвимостей в топ, скорее всего, временное явление.
На третьем месте (10 опубликованных proof-of-concept) — уязвимости, позволяющие производить SQL-инъекции. Характерный пример — CVE-2025-22710 SQLi в плагине StoreApps Smart Manager (критичность: 7,6).
На четвертом месте (6 опубликованных proof-of-concept) — уязвимости, позволяющие осуществлять подделку межсайтовых запросов (CSRF), а также — неограниченную загрузку файлов опасного типа. Характерным примером первого типа в 1-м квартале стала CVE-2025-26206 (критичность: 9,0) в инструментарии для разработки веб-сайтов Sell Done Storefront. А среди уязвимостей неограниченной загрузки файлов — CVE-2025-26319 (критичность: 9,8) в открытом инструментарии для разработки приложений, использующих большие лингвистические модели.
Заключение: обновляйтесь
Общую ситуацию в ландшафте угроз в 1-м квартале 2025 года нельзя назвать необычной: самые распространенные продукты получают наибольшее «внимание» как со стороны исследователей в области безопасности, так и со стороны злоумышленников, а значит, требуют пристального внимания к себе со стороны защитников инфраструктур. Команда Solar 4RAYS продолжит наблюдать за ландшафтом и публиковать обновления у нас в блоге, а пока рекомендуем: следите за публикацией информации о новых уязвимостях и обновляйте ПО в своих инфраструктурах как можно скорее.
