05.12.2025 08:30
argend0 2 4300 Источник

Предисловие

Привет! Меня зовут Владимир и я эксперт по тестированию на проникновение, да с момента прошлой статьи должность успела измениться, но это всё так же позволяет мне зарыться в цифры по свежим, и не очень, вулнам и поделиться статистикой с Хабром.

Ниже ссылки на:

и заодно мой телеграмм канал: @iamargendo, а сейчас поговорим про осенние уязвимости.

Цифры

За осень зарегистрировано 4490 веб-уязвимостей, чуть больше 1000 из которых получили высокий или критический уровень опасности.

Тренды

Осенью зарегистрировали больше всего XSS, а SQL инъекции всё так же занимают первое место среди наиболее критичных уязвимостей.

PoC

Из тысячи высококритичных CVE 62 получили публичные примеры эксплуатации, доступные на Github.

Стек

Абсолютными лидерами по количеству уязвимостей осенью всё так же остаются решения на PHP и WordPress и его плагины. Замыкает ТОП-3 Nagios XI - решение для мониторинга инфраструктуры.

Теперь детальнее.

ТОП-10 по общему количеству уязвимостей включает в себя веб-интерфейсы сетевых устройств, платформы для создания сайтов, WebKit Safari, логистическое ПО, платформы для управления IT-инфраструктурой и уязвимости в веб-компонентах Android.

В ТОП-10 технологий по количеству высококритичных уязвимостей попали решения на Java, Node.js и веб-серверы.

Динамика

Осень выдалась чуть менее результативной, чем лето. Так общее количество CVE снизилось на 1%, а количество высококритичных уязвимостей и вовсе на 41%, количество эксплойтов так же упало на 7%.

Популярные языки

Python

Самыми интересными CVE за осень для Python мне показались:

  • CVE-2025-58438 - Path Traversal с возможностью записи файлов вне целевого каталога

  • CVE-2025-63603 - Инъекция кода через exec в MCP Data Science Server

Java

Среди уязвимостей для Java можно выделить:

  • CVE-2025-12140 - Исполнение произвольного кода через небезопасную обработку redirectUrlParameter

  • CVE-2025-57644 - RCE в Accela Automation Platform

Заключение

Осень получилась более спокойной с точки зрения обнаруженных веб-уязвимостей, но подождём статистики за зиму, а то она только началась, а всё информационное поле уже занято CVE-2025-55182.

Комментарии (2)


  1. SOC-Analyst
    05.12.2025 15:00
    #29211374

    Классный топ и было бы удобно получить ссылку на полный список cve в конце


    1. argend0 Автор
      05.12.2025 15:00
      #29211386

      Спасибо, учту! :)