Во втором квартале 2025 года зафиксирован существенный рост числа уязвимостей в популярных веб-приложениях, увеличение составило 58% по сравнению с предыдущим периодом. Наибольшее количество угроз обнаружено в плагинах системы управления сайтами WordPress, а также в роутерах и ином телекоммуникационном оборудовании. Этой информацией с «Газетой.Ru» поделился аналитик группы компаний «Солар», Сергей Беляев из Solar 4RAYS.
Аналитики Solar 4RAYS, исследовав данные из открытых источников по более чем 120 известным продуктам, выявили 215 новых уязвимостей. Большинство из них (89%) имеют сетевой вектор атаки и могут быть использованы удалённо через интернет-протоколы. Доля таких угроз увеличилась практически на 10%, что в первую очередь связано с множеством уязвимостей в экосистеме WordPress. Более половины (60%) найденных сетевых уязвимостей оценены как высоко критические.
Наибольшую уязвимость продемонстрировали WordPress и его плагины, на долю которых пришлось 24% всех обнаруженных проблем. Эксперты объясняют это широкой распространённостью платформы, на которой создают сайты как малые интернет-магазины, так и государственные порталы.
На втором месте по числу обнаруженных уязвимостей (7%) оказались роутеры и другое сетевое оборудование. Примером служит серьёзная уязвимость в роутерах TP-Link, что позволяет злоумышленникам выполнять произвольный код на устройствах. Замыкают тройку «антирейтинга» продукты компании Apache (4%) — программное обеспечение для веб-серверов.
Во втором квартале наиболее частыми типами уязвимостей стали межсайтовый скриптинг (XSS) с показателем 12%, позволяющий внедрять вредоносный код на доверенные ресурсы, а также уязвимости, связанные с неограниченной загрузкой вредных файлов (11%) и обходом директорий (5%).
Эксперты предупреждают, что хакеры наверняка начнут эксплуатировать эти уязвимости для осуществления кибератак. В связи с этим компаниям рекомендуется обеспечивать своевременное обновление программного обеспечения и прошивок оборудования, а также осторожно подходить к установке плагинов, особенно на WordPress.
Ранее стало известно, что более половины DDoS-атак на территорию РФ осуществляются из Украины при помощи российских ресурсов.