Критических уязвимостей стало больше на треть: PHP и WordPress под ударом

Весной 2025 года команда BI.ZONE WAF зафиксировала рост числа критических уязвимостей на треть, а готовых сценариев атак — на четверть.

Количество опасных уязвимостей в IT-системах продолжает расти. Весна 2025 года показала тревожный тренд: резкий рост числа критических CVE, увеличение числа публичных PoC и смещение в сторону более опасных векторов атак. Под удар попали PHP‑решения и WordPress, а среди методов атак лидируют SQL‑инъекции. За весну было зафиксировано почти пять тысяч новых CVE.

По данным BI.ZONE WAF, с марта по май 2025 года количество критических уязвимостей выросло на 30% по сравнению с зимой. За то же время на 26% увеличилось число публичных PoC-эксплойтов, то есть список доступных сценариев атак пополнился.

Наиболее уязвимым остается стек PHP и CMS-решения, разработанные на его основе. В числе лидеров по количеству критических уязвимостей — экосистема WordPress, ее плагины и специализированные сборки. Всего в весеннем отчете выявлено 222 критические уязвимости в PHP-решениях, из них 99 приходится на WordPress.

Весной изменились тренды в типах атак: SQL-инъекции заняли первое место, обогнав XSS. Зарегистрировали 521 критическую уязвимость с использованием SQL-инъекций и только 402 уязвимости на базе XSS.

Среди уязвимых решений — плагины WordPress, промышленное ПО для АСУ ТП, а также готовые проекты open source на PHP. В их числе — phpgurukul для начинающих разработчиков и студентов, осваивающих веб-разработку, и projectworlds для учебных и курсовых задач с авторизацией, CRUD-функциональностью и работой с базами данных.

Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE:

«Весна 2025 года показала, что вектор атак сместился в сторону старых, но по-прежнему актуальных уязвимостей. Простые эксплойты, доступные буквально каждому злоумышленнику, делают устаревшие CMS и фреймворки легкой мишенью — особенно если система регулярно не обновляется и не защищена на уровне веб-приложения.

Чтобы минимизировать репутационные и финансовые риски, бизнесу важно выстраивать многоуровневую защиту, оперативно устанавливать обновления и использовать решения, которые помогут предупредить атаки».

BI.ZONE — компания по управлению цифровыми рисками, которая помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1600 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 800 клиентов. Сайт: https://bi.zone.