Ежедневно эксперты Solar 4RAYS следят за появлением уязвимостей в распространённых веб-приложениях, а также эксплойтов под эти уязвимости. Мониторинг осуществляется для своевременного создания детектирующих логик, которые впоследствии реализуются в продуктах и сервисах “Солара”. Параллельно накапливается статистика, которая позволяет сформировать представление об изменениях в ландшафте угроз этого типа.
Во втором квартале мы проанализировали 215 сообщений о новых уязвимостях и proof-of-concept (PoC - ранняя реализация угрозы, которая использует недавно обнаруженные уязвимости) для них в более чем 120 продуктах. Информация получена из открытых источников: Телеграм-каналов об информационной безопасности, статьях исследователей безопасности и т.д. В этом обзоре расскажем о результатах нашего анализа.
Основные результаты:
- Количество обнаруженных уязвимостей по сравнению с первым кварталом выросло на 58,1% – со 136 до 215;
- Сетевой вектор имеют 88,84% уязвимостей;
- Средний уровень критичности обнаруженных уязвимостей – 7,8 (из 10);
- Самые уязвимые продукты - Wordpress и плагины для него (24%), продукты Apache, а также различные роутеры и другое сетевое оборудование;
- Большая часть (59,8%) обнаруженных сетевых уязвимостей имели уровень критичности High и Critical;
- Межсайтовый скриптинг, неограниченная загрузка опасных файлов и неправильное ограничение пути к файлам (обход директорий) - наиболее часто обнаруживаемые типы уязвимостей во втором квартале.
Векторы и уровень критичности
Из всех обнаруженных за квартал уязвимостей сетевой вектор (возможность эксплуатации через сетевые протоколы - HTTP, SSH, SMB и др.) имеют 88,84%.
Векторы уязивмостей во 2-м квартале 2025 г.
По сравнению с первым кварталом доля сетевых уязвимостей выросла на 9,83 процентных пункта (п.п.).
Векторы уязивмостей в 1-м квартале 2025 г.
Значительный рост как совокупного количества уязвимостей, так и доли сетевых уязвимостей в общем объеме, с нашей точки зрения, обусловлен сезонным фактором. На ситуацию в первом квартале традиционно влияют новогодние праздники. С конца декабря и по середину февраля активность исследователей безопасности продуктов снижается в связи с чередой каникул (католическое Рождество, Новый год, православное Рождество, китайский Новый год), а к середине первого квартала выходит на обычный уровень – эксперты начинают работать в полную силу, и результаты этих усилий становятся видны как раз во втором квартале.
Большая часть (59,8%) обнаруженных сетевых уязвимостей имели уровень критичности High и Critical. В предыдущем квартале на такие уязвимости пришлось 72%.
Распределение уязвимостей по уровню критичности во 2-м квартале 2025 г.
Важно отметить, что во 2-м квартале гораздо выше доля уязвимостей, уровень критичности которых не определён. Это связано с тем, что техническая информация о некоторых уязвимостях появляется значительно раньше, чем оценочные данные об уровне критичности. В связи с этим, скорее всего, доля критичных уязвимостей со временем вырастет.
Распределение уязвимостей по уровню критичности в 1-м квартале 2025 г.
Самые уязвимые продукты
Наибольшее число уязвимостей (и PoC для них) было раскрыто в плагинах для CMS-платформы с открытым кодом Wordpress. За квартал было опубликовано 52 сообщения. Максимальный балл критичности (10/10) получила уязвимость в плагине WooCommerce, позволяющая загружать файлы вредоносного типа CVE-2025-47577.
Самые уязвимые продукты во 2-м квартале 2025 г.
Примечательно, что лидерство Wordpress сохраняет уже второй квартал подряд и даже доля остается примерно такой же, несмотря на возросшее абсолютное число обнаруженных уязвимостей. Из-за популярности экосистемы Wordpress, для неё появляется множество различных плагинов, которые, как видно из анализа, далеко не всегда отличаются высоким качеством с точки зрения безопасности.
Самые уязвимые продукты в 1-м квартале 2025 г.
На втором месте ряд уязвимостей в различных роутерах и другом сетевом оборудовании. Например, уязвимость CVE-2025-40634 в роутерах TP-Link имеет уровень критичности 9,2 и позволяет атакующему исполнять произвольный код через LAN- или WAN-соединения.
Другой пример CVE-2025-4009 для сетевого оборудования Evertz SDVN 3080ipx-10G. Уязвимость имеет уровень критичности 9,3 и также позволяет выполнять произвольный код.
Третье место заняли уязвимости продуктов Apache. Наиболее критичной является CVE-2025-30065 (критичность 10/10). Критическая уязвимость в модуле parquet-avro библиотеки Apache Parquet версии 1.15.0 и ранее, позволяющая злоумышленникам выполнять произвольный код через обработку схемы.
Топ-5 уязвимостей по количеству вышедших proof-of-concept
Некоторые уязвимости, опубликованные в течение квартала, получили несколько реализаций в виде proof-of-concept. Обычно такое происходит с наиболее опасными и\или легко эксплуатируемыми уязвимостями. Кратко опишем уязвимости, для которых в прошедшем квартале вышло наибольшее число PoC.
Топ-5 уязвимостей по количеству PoC во 2-м квартале 2025 г.
CVE-2025-31324 (SAP NetWeaver Visual Composer Metadata Uploader). Критичность 9.8/10. Отсутствует надлежащая проверка прав доступа, что позволяет удалённому пользователю без аутентификации загружать вредоносные исполняемые файлы.
CVE-2025-49113 (Roundcube Webmail) Критичность 9.9/10. В файле program/actions/settings/upload.php параметр _from из URL не проверяется должным образом. Аутентифицированный пользователь может внедрить сериализованный объект PHP, что приводит к выполнению произвольного кода на сервере.
CVE-2025-3102 (Wordpress-плагин SureTriggers) Критичность 8.1/10. В плагине SureTriggers отсутствует проверка пустого значения для параметра secret_key в функции authenticate_user. Это позволяет неаутентифицированным злоумышленникам создавать учётные записи с правами администратора на сайте
CVE-2025-31161 (CrushFTP) Критичность 9.8/10. Уязвимость обхода аутентификации, позволяющая удалённым злоумышленникам получать доступ к учётной записи администратора (по умолчанию crushadmin) без ввода пароля.
CVE-2025-4123 — Уязвимость в grafana, которая позволяла выполнить XSS, SSRF благодаря обходу путей клиента и открытого перенаправления.
Наиболее часто обнаруживаемые типы уязвимостей
Во втором квартале мы выделяем 10 типов уязвимостей, которые обнаруживаются чаще других.
Количество уязвимостей |
Тип уязвимости |
---|---|
26 |
Межсайтовый скриптинг (XSS) |
23 |
Неограниченная загрузка файлов с опасным типом |
10 |
Неправильное ограничение пути к файлам (обход директорий) |
10 |
Внедрение SQL-кода |
10 |
Неправильный контроль доступа |
10 |
Межсайтовая подделка запроса |
10 |
Неправильный контроль над генерацией кода (внедрение кода) |
9 |
Отсутствие проверки прав доступа |
5 |
Десериализация недоверенных данных |
5 |
Подделка запросов со стороны сервера |
Первое место, как и в прошлом квартале, заняли уязвимости межсайтового скриптинга (XSS) Характерным примером такой уязвимости в 2-м квартале была CVE-2025-44148 с критичностью 9.8/10 в продукте MailEnable.
Второе место заняли уязвимости неограниченной загрузки файлов опасного типа. Характерным примером является уязвимость в плагине WooCommerce, описанная в разделе “Самые уязвимые продукты”.
С третьего по седьмое место расположились типы с равным количеством уязвимостей, а именно:
- Уязвимости недостаточного ограничения пути к защищенной директории. Например CVE-2025-5964 с критичностью 8,4/10;
- SQL-инъекции. Например, уязвимость CVE-2025-26198 в CloudClassroom-PHP с критичностью 9,8/10;
- Уязвимости некорректного контроля доступа. Например CVE-2025-31125 (критичность 5,3\10), которая позволяет получить несанкционированный доступ к файлам. О ней и ее начальной версии мы писали в нашем Телеграм-канале.
- СSRF - межсайтовая подделка запросов. Примером такой уязвимости во втором квартале стала CVE-2025-39601 с критичностью 9,6/10, о которой мы писали в нашем Телеграм-канале.
- Уязвимости, связанные с неправильным контролем генерации кода («Внедрение кода») Характерный пример этого типа – RCE-уязвимость в панели Pterodactyl CVE-2025-49132 с критичностью 10/10.
Восьмое место - отсутствующая авторизация. Наиболее активно эта уязвимость проявляется в плагинах для Wordpress. Характерный пример уязвимости – CVE-2025-1304 (критичность 8,8/10).
Девятое и десятое место заняли уязвимости:
Десериализация ненадежных данных. например уязвимость BentoML CVE-2025-32375 с критичностью 9,8/10 о которой мы писали в нашем Телеграм-канале. А кроме того, уязвимости, связанные с подделкой запросов на стороне сервера. Характерным примером тут является уязвимость SSRF в Apache Kafka Client CVE-2025-27817 (критичность 7,5/10), о которой мы недавно писали в нашем Телеграм-канале
Примечательно, что в совокупности на Топ-5 наиболее часто обнаруживаемых типов уязвимостей во втором квартале приходилось почти 37% всех обнаруженных уязвимостей.
Топ-5 наиболее часто обнаруживаемых типов уязвимостей во 2-м квартале 2025 г.
В то же время кварталом ранее на самые распространенные приходилось почти 50% уязвимостей.
Топ-5 наиболее часто обнаруживаемых типов уязвимостей в 1-м квартале 2025 г.
За квартал сократилась доля уязвимостей, связанных с неправильным контролем доступа и SQL-инъекциями, а уязвимостей, связанных с неправильной загрузкой файлов, вообще не было в топе.
Изменения в рейтинге распространенности – хороший индикатор для ответственных за патч-менеджмент в организациях, поскольку перемены показывают:, на актуальность версий каких продуктов в защищаемой инфраструктуре необходимо смотреть в первую очередь.
Заключение: обновляйтесь
Общую ситуацию в ландшафте уязвимостей во втором квартале 2025 года можно охарактеризовать так: сообщество исследователей безопасности продуктов прекратило праздновать и взялось за работу в полную силу. К сожалению, это же утверждение справедливо и к сообществам злоумышленников, которые неминуемо будут пользоваться уязвимостями для атак на свои цели.
Главным источником уязвимостей уже второй квартал является платформа Wordpress и плагины к ней. Если в вашей инфраструктуре есть такой софт, следите за ним пристально. Роутеры и другое сетевое оборудование – еще один постоянный источник проблем, о котором нередко забывают. Во втором квартале стало известно сразу о нескольких уязвимостях, позволяющих удаленное исполнение кода, и это достаточный повод, чтобы убедиться, что на оборудовании в вашей инфраструктуре установлены самые свежие прошивки. Также рекомендуем обратить внимание на уязвимости в ПО, о которых мы писали в нашем Телеграм-канале:
- CVE-2025-32375
- API to SSTI to RCE на примере @fastify/view
- CVE-2025-48827
- CVE-2025-27817
- CVE-2025-31125
- CVE-2025-3248
- CVE-2025-32433
- CVE-2025–39601
В канале мы пишем только о самых опасных или массовых уязвимостях, которые требуют оперативной реакции. Словом, обновляйтесь.
Команда Solar 4RAYS продолжит наблюдать за ландшафтом и публиковать обновления у нас в блоге.