15.09.2025 10:00
argend0 0 370 Источник

Предисловие

Привет!
Меня зовут Владимир и я ведущий исследователь веб‑угроз.

С начала 2025 года я начал отслеживать CVE для веб-уязвимостей и способы их эксплуатации при помощи разработанного мной решения.

В июне я выпустил пилотный дайджест веб-уязвимостей за прошедшую весну, получил обратную связь как на Хабре, так и в личной коммуникации, что-то добавил, что-то расширил и сейчас хочу поделиться ретроспективой CVE за прошедшее лето.

Цифры

За лето зарегистрировано порядка 4.500 веб-уязвимостей, 1.700 из которых получили высокий или критический уровень опасности.

Тренды

Летом фокус исследователей сместился с XSS на SQLi, именно их регистрировали больше всего. SQL инъекции остались и наверху таблицы наиболее критичных уязвимостей.

PoC

Из всех CVE 67 получили публичные примеры эксплуатации на Github.

Стек

В лидерах по количеству уязвимостей летом оказались решения на PHP, WordPress с его плагинами и, неожиданно, но 3ье место с большим отрывом от 4ого занял Adobe Experience Manager - корпоративная CMS для создания контента и обмена опытом от Adobe.

В летнем дайджесте я пересмотрел подход к сбору статистики и решил дать более широкую картину того в каких решениях находили наибольшее количество уязвимостей.

Так в ТОП-10 по общему количеству уязвимостей попали решения на Java, веб-интерфейсы сетевых устройств, Apache, а гордо закрыли список решения на Python.

В ТОП-10 технологий по количеству высококритичных уязвимостей попали даже Gitlab, Apache Tomcat и приложения на ASP.NET.

Динамика

В сравнении с весной общее количество CVE и количество высококритичных уязвимостей снизилось на 7%, а количество эксплойтов под CVE наоборот увеличилось на 6%.

Языки

Поскольку летом для решений на PHP только высококритичных уязвимостей выходило примерно по 3 уязвимости в день, я решил чуть более детально взглянуть на статистику по трём наиболее популярным с точки зрения CVE языкам программирования и рассмотреть несколько уязвимостей для каждого из них.

Python

Самыми интересными CVE за лето для Python мне показались:

  • CVE-2025-47278 - Некорректная ротация ключей и, как следствие, потенциальная предсказуемость подписей в Flask 3.1.0

  • CVE-2025-24023 - Перебор существующих юзернеймов в приложениях на Flask-AppBuilder на основе времени ответа

  • CVE-2025-46814 - HTTP Header Injection в FastAPI Guard

  • CVE-2025-47287 - DoS через лог-флуд в Tornado

  • CVE-2025-28102 - XSS в flaskBlog

Java

Среди уязвимостей для Java можно выделить:

  • CVE-2025-50106 - Уязвимость в JVM, позволяющая получить RCE через компонент Java 2D

  • CVE-2025-50059 - RCE в клиентских JVM через недоверенные скрипты

Go

Для Go одними из самых заметных CVE стали:

  • CVE-2025-30223 - Критическая XSS с Account Takeover в Beego

  • CVE-2025-3445 - Zip Slip с рейтингом 8.1 в mholt/archiver

Заключение

Как можно заметить из приведенной статистики, снижение количества зарегистрированных CVE никак не уменьшает количество уязвимостей, для которых публикуются эксплойты.
Отслеживать базы данных уязвимостей необходимо хотя бы для актуальных для вас технологий, так как с таким потоком информации легко упустить критическую уязвимость и дать злоумышленникам дополнительную точку входа в инфраструктуру.

Комментарии (0)