Предисловие
Привет!
Меня зовут Владимир и я старший исследователь веб‑угроз.
Web-уязвимости были и остаются одним из самых популярных векторов для получения первичного доступа или полной компрометации системы, поэтому крайне важно следить за трендами атак и, разумеется, своевременно патчиться и обновляться.
Тем не менее, было бы круто знать чего вообще стоит бояться из OWASP TOP-10 и в каких продуктах чаще всего встречаются уязвимости. Именно благодаря этому появилась идея систематизировать сбор и предварительную аналитику информации о новых CVE и PoC для web-приложений, чтобы оперативно реагировать на угрозы и делиться этими данными с командой и клиентами, что я и сделал.
В начале 2025 года я автоматизировал поиск и агрегацию данных по web-уязвимостям и теперь с радостью готов поделиться с вами статистикой web CVE и PoC за весну 2025.
Ну и слегка разбавил сухие цифры дополнительной аналитикой.
Цифры
Среди всех CVE зарегистрированных весной 2025 года почти 5.000 пришлось на web-приложения, 2.000 из которых были оценены на 7.0 и выше баллов по шкале CVSS и получили высокий или критический уровень опасности.
Тренды
Больше всего весной регистрировали Cross-Site Scripting, SQL инъекции и Cross-Site Request Forgery. Тем не менее не количеством, а качеством пальму первенства забрали SQL инъекции, именно эти уязвимости находятся наверху таблицы наиболее критичных.
PoC
Ещё одной пугающей метрикой является количество примеров эксплуатации уязвимостей.
За сезон 63 высоко критичных уязвимости получили публичные примеры эксплуатации. Разумеется, 3.4% от атак, которые могут повлечь за собой серьезные последствия, не воспринимаются так серьезно, но если взглянуть на это с другой стороны, то на одном лишь Github'е появлялось по эксплойту каждый рабочий день.
Стек
Что касается предпочтений исследователей безопасности, то здесь всё вполне очевидно.
Одним из наиболее лакомых кусочков для любого исследователя безопасности являются приложения на PHP. В топе оказались WordPress плагины и готовые программные решения на PHP.
Из интересного, можно выделить аномальное количество зарегистрированных CVE для TeleControl Server Basic - системы мониторинга и управления объектами в промышленности, энергетике, водоснабжении и т.п.
Заключение
Не забывайте обновлять свои приложения!
Ну или искать альтернативу уязвимым решениям.
А я и далее продолжу отслеживать CVE и PoC под web, чтобы взглянуть на картину web-уязвимостей на дистанции и посмотреть, что происходит с миром web-безопасности летом.
Комментарии (8)
AnthonyDS
23.06.2025 11:59Данные только по php, по другим (java, go, python) нет?
argend0 Автор
23.06.2025 11:59Я фиксировал все данные по CVE для веб-уязвимостей за весну, но, к сожалению или к счастью, в Java, Go, Python и решениях на их основе не нашлось настолько много уязвимостей - тем более высококритичных.
Java:
stack | count | severity ---------+-------+---------- flask | 3 | LOW django | 1 | MEDIUM fastapi | 1 | LOW tornado | 1 | HIGHGo:
stack | count | severity -------+-------+---------- go | 1 | HIGH beego | 1 | CRITICALPython:
stack | count | severity ---------+-------+---------- flask | 3 | LOW django | 1 | MEDIUM fastapi | 1 | LOW tornado | 1 | HIGH
Но впредь расширю статистику на популярные языки вне зависимости от количества найденных для них уязвимостей :)
noavarice
В статье ссылаетесь на какое-то конкретное исследование? Интересно было бы посмотреть источники
А вообще интересно видеть, что инъекции опять на коне, особенно в БД
argend0 Автор
Добрый день!
В качестве источника данных по CVE использовался NVD NIST, фактически, просто долгосрочный сбор данных про веб уязвимости и их категоризация.
Данные о PoC были были взяты с Github.