Ежедневно эксперты Solar 4RAYS следят за появлением уязвимостей в распространённых веб-приложениях, а также эксплойтов под эти уязвимости. Мониторинг осуществляется для своевременного создания детектирующих логик, которые впоследствии реализуются в продуктах и сервисах “Солара”. Параллельно накапливается статистика, которая позволяет сформировать представление об изменениях в ландшафте угроз этого типа.

Во втором квартале мы проанализировали 215 сообщений о новых уязвимостях и proof-of-concept (PoC - ранняя реализация угрозы, которая использует недавно обнаруженные уязвимости) для них в более чем 120 продуктах. Информация получена из открытых источников: Телеграм-каналов об информационной безопасности, статьях исследователей безопасности и т.д. В этом обзоре расскажем о результатах нашего анализа.

Основные результаты:

  • Количество обнаруженных уязвимостей по сравнению с первым кварталом выросло на 58,1% – со 136 до 215;
  • Сетевой вектор имеют 88,84% уязвимостей;
  • Средний уровень критичности обнаруженных уязвимостей – 7,8 (из 10);
  • Самые уязвимые продукты - Wordpress и плагины для него (24%), продукты Apache, а также различные роутеры и другое сетевое оборудование;
  • Большая часть (59,8%) обнаруженных сетевых уязвимостей имели уровень критичности High и Critical;
  • Межсайтовый скриптинг, неограниченная загрузка опасных файлов и неправильное ограничение пути к файлам (обход директорий) - наиболее часто обнаруживаемые типы уязвимостей во втором квартале.

Векторы и уровень критичности

Из всех обнаруженных за квартал уязвимостей сетевой вектор (возможность эксплуатации через сетевые протоколы - HTTP, SSH, SMB и др.) имеют 88,84%.

Векторы уязивмостей во 2-м квартале 2025 г.

По сравнению с первым кварталом доля сетевых уязвимостей выросла на 9,83 процентных пункта (п.п.).

Векторы уязивмостей в 1-м квартале 2025 г.

Значительный рост как совокупного количества уязвимостей, так и доли сетевых уязвимостей в общем объеме, с нашей точки зрения, обусловлен сезонным фактором. На ситуацию в первом квартале традиционно влияют новогодние праздники. С конца декабря и по середину февраля активность исследователей безопасности продуктов снижается в связи с чередой каникул (католическое Рождество, Новый год, православное Рождество, китайский Новый год), а к середине первого квартала выходит на обычный уровень – эксперты начинают работать в полную силу, и результаты этих усилий становятся видны как раз во втором квартале.

Большая часть (59,8%) обнаруженных сетевых уязвимостей имели уровень критичности High и Critical. В предыдущем квартале на такие уязвимости пришлось 72%.

Распределение уязвимостей по уровню критичности во 2-м квартале 2025 г.

Важно отметить, что во 2-м квартале гораздо выше доля уязвимостей, уровень критичности которых не определён. Это связано с тем, что техническая информация о некоторых уязвимостях появляется значительно раньше, чем оценочные данные об уровне критичности. В связи с этим, скорее всего, доля критичных уязвимостей со временем вырастет.

Распределение уязвимостей по уровню критичности в 1-м квартале 2025 г.

Самые уязвимые продукты

Наибольшее число уязвимостей (и PoC для них) было раскрыто в плагинах для CMS-платформы с открытым кодом Wordpress. За квартал было опубликовано 52 сообщения. Максимальный балл критичности (10/10) получила уязвимость в плагине WooCommerce, позволяющая загружать файлы вредоносного типа CVE-2025-47577.

Самые уязвимые продукты во 2-м квартале 2025 г.

Примечательно, что лидерство Wordpress сохраняет уже второй квартал подряд и даже доля остается примерно такой же, несмотря на возросшее абсолютное число обнаруженных уязвимостей. Из-за популярности экосистемы Wordpress, для неё появляется множество различных плагинов, которые, как видно из анализа, далеко не всегда отличаются высоким качеством с точки зрения безопасности.

Самые уязвимые продукты в 1-м квартале 2025 г.

На втором месте ряд уязвимостей в различных роутерах и другом сетевом оборудовании. Например, уязвимость CVE-2025-40634 в роутерах TP-Link имеет уровень критичности 9,2 и позволяет атакующему исполнять произвольный код через LAN- или WAN-соединения.

Другой пример CVE-2025-4009 для сетевого оборудования Evertz SDVN 3080ipx-10G. Уязвимость имеет уровень критичности 9,3 и также позволяет выполнять произвольный код.

Третье место заняли уязвимости продуктов Apache. Наиболее критичной является CVE-2025-30065 (критичность 10/10). Критическая уязвимость в модуле parquet-avro библиотеки Apache Parquet версии 1.15.0 и ранее, позволяющая злоумышленникам выполнять произвольный код через обработку схемы.

Топ-5 уязвимостей по количеству вышедших proof-of-concept

Некоторые уязвимости, опубликованные в течение квартала, получили несколько реализаций в виде proof-of-concept. Обычно такое происходит с наиболее опасными и\или легко эксплуатируемыми уязвимостями. Кратко опишем уязвимости, для которых в прошедшем квартале вышло наибольшее число PoC.

Топ-5 уязвимостей по количеству PoC во 2-м квартале 2025 г.

CVE-2025-31324 (SAP NetWeaver Visual Composer Metadata Uploader). Критичность 9.8/10. Отсутствует надлежащая проверка прав доступа, что позволяет удалённому пользователю без аутентификации загружать вредоносные исполняемые файлы.

CVE-2025-49113 (Roundcube Webmail) Критичность 9.9/10. В файле program/actions/settings/upload.php параметр _from из URL не проверяется должным образом. Аутентифицированный пользователь может внедрить сериализованный объект PHP, что приводит к выполнению произвольного кода на сервере.

CVE-2025-3102 (Wordpress-плагин SureTriggers) Критичность 8.1/10. В плагине SureTriggers отсутствует проверка пустого значения для параметра secret_key в функции authenticate_user. Это позволяет неаутентифицированным злоумышленникам создавать учётные записи с правами администратора на сайте

CVE-2025-31161 (CrushFTP) Критичность 9.8/10. Уязвимость обхода аутентификации, позволяющая удалённым злоумышленникам получать доступ к учётной записи администратора (по умолчанию crushadmin) без ввода пароля.

CVE-2025-4123 — Уязвимость в grafana, которая позволяла выполнить XSS, SSRF благодаря обходу путей клиента и открытого перенаправления.

Наиболее часто обнаруживаемые типы уязвимостей

Во втором квартале мы выделяем 10 типов уязвимостей, которые обнаруживаются чаще других.

Количество уязвимостей

Тип уязвимости

26

Межсайтовый скриптинг (XSS)

23

Неограниченная загрузка файлов с опасным типом

10

Неправильное ограничение пути к файлам (обход директорий)

10

Внедрение SQL-кода

10

Неправильный контроль доступа

10

Межсайтовая подделка запроса

10

Неправильный контроль над генерацией кода (внедрение кода)

9

Отсутствие проверки прав доступа

5

Десериализация недоверенных данных

5

Подделка запросов со стороны сервера

Первое место, как и в прошлом квартале, заняли уязвимости межсайтового скриптинга (XSS) Характерным примером такой уязвимости в 2-м квартале была CVE-2025-44148 с критичностью 9.8/10 в продукте MailEnable.

Второе место заняли уязвимости неограниченной загрузки файлов опасного типа. Характерным примером является уязвимость в плагине WooCommerce, описанная в разделе “Самые уязвимые продукты”.

С третьего по седьмое место расположились типы с равным количеством уязвимостей, а именно:

  • Уязвимости недостаточного ограничения пути к защищенной директории. Например CVE-2025-5964 с критичностью 8,4/10;
  • SQL-инъекции. Например, уязвимость CVE-2025-26198 в CloudClassroom-PHP с критичностью 9,8/10;
  • Уязвимости некорректного контроля доступа. Например CVE-2025-31125 (критичность 5,3\10), которая позволяет получить несанкционированный доступ к файлам. О ней и ее начальной версии мы писали в нашем Телеграм-канале.
  • СSRF - межсайтовая подделка запросов. Примером такой уязвимости во втором квартале стала CVE-2025-39601 с критичностью 9,6/10, о которой мы писали в нашем Телеграм-канале.
  • Уязвимости, связанные с неправильным контролем генерации кода («Внедрение кода») Характерный пример этого типа – RCE-уязвимость в панели Pterodactyl CVE-2025-49132 с критичностью 10/10.

Восьмое место - отсутствующая авторизация. Наиболее активно эта уязвимость проявляется в плагинах для Wordpress. Характерный пример уязвимости – CVE-2025-1304 (критичность 8,8/10).

Девятое и десятое место заняли уязвимости:

Десериализация ненадежных данных. например уязвимость BentoML CVE-2025-32375 с критичностью 9,8/10 о которой мы писали в нашем Телеграм-канале. А кроме того, уязвимости, связанные с подделкой запросов на стороне сервера. Характерным примером тут является уязвимость SSRF в Apache Kafka Client CVE-2025-27817 (критичность 7,5/10), о которой мы недавно писали в нашем Телеграм-канале

Примечательно, что в совокупности на Топ-5 наиболее часто обнаруживаемых типов уязвимостей во втором квартале приходилось почти 37% всех обнаруженных уязвимостей.

Топ-5 наиболее часто обнаруживаемых типов уязвимостей во 2-м квартале 2025 г.

В то же время кварталом ранее на самые распространенные приходилось почти 50% уязвимостей.

Топ-5 наиболее часто обнаруживаемых типов уязвимостей в 1-м квартале 2025 г.

За квартал сократилась доля уязвимостей, связанных с неправильным контролем доступа и SQL-инъекциями, а уязвимостей, связанных с неправильной загрузкой файлов, вообще не было в топе.

Изменения в рейтинге распространенности – хороший индикатор для ответственных за патч-менеджмент в организациях, поскольку перемены показывают:, на актуальность версий каких продуктов в защищаемой инфраструктуре необходимо смотреть в первую очередь.

Заключение: обновляйтесь

Общую ситуацию в ландшафте уязвимостей во втором квартале 2025 года можно охарактеризовать так: сообщество исследователей безопасности продуктов прекратило праздновать и взялось за работу в полную силу. К сожалению, это же утверждение справедливо и к сообществам злоумышленников, которые неминуемо будут пользоваться уязвимостями для атак на свои цели.

Главным источником уязвимостей уже второй квартал является платформа Wordpress и плагины к ней. Если в вашей инфраструктуре есть такой софт, следите за ним пристально. Роутеры и другое сетевое оборудование – еще один постоянный источник проблем, о котором нередко забывают. Во втором квартале стало известно сразу о нескольких уязвимостях, позволяющих удаленное исполнение кода, и это достаточный повод, чтобы убедиться, что на оборудовании в вашей инфраструктуре установлены самые свежие прошивки. Также рекомендуем обратить внимание на уязвимости в ПО, о которых мы писали в нашем Телеграм-канале:

В канале мы пишем только о самых опасных или массовых уязвимостях, которые требуют оперативной реакции. Словом, обновляйтесь.

Команда Solar 4RAYS продолжит наблюдать за ландшафтом и публиковать обновления у нас в блоге.