Веб-приложения стали более уязвимыми

Эксперты центра исследования киберугроз Solar 4RAYS группы компаний "Солар" изучили 1046 уязвимостей в почти 700 российских и зарубежных веб-приложениях. Из них почти 40% обнаружены в IV квартале 2025 г. При этом впервые за год зафиксирован растущий тренд на уязвимости в ИИ-сервисах - обнаружено 24 подобных недостатка за год. В топе наиболее уязвимых решений - платформа для создания сайтов WordPress и ее плагины, роутеры, сетевое оборудование и другие ИТ-продукты.

Всего в IV квартале 2025 г. эксперты обнаружили 397 уязвимостей. Это 38% от всех найденных за год, а прирост в сравнении с I кварталом 2025 г. составил 220%.

Количество уязвимых продуктов также увеличилось в 4,2 раза. Всего в IV квартале 2025 г. найдено 229 веб-приложений против 70 в I квартале. По мнению экспертов, такая тенденция говорит о необходимости компаниям вкладывать больше ресурсов в установку обновлений и другие меры по предотвращению кибератак через уязвимости во второй половине года.

"IV квартал - это не только конец года, но и точка накопленного технического долга. В течение года компании активно выкатывают новый функционал, откладывая глубокие проверки безопасности на потом, а к концу года процесс сходится в одном месте. К тому же именно во второй половине года резко растет активность исследователей и злоумышленников: публикуются результаты багбаунти, идет пересборка цепочек атак под обновленные версии продуктов", - рассказал руководитель отдела технического пресейла ООО "АйТи Таск" (IT Task) Михаил Тимаев.

"Снизить такой сезонный перекос можно только системно, перенося фокус с разовых проверок на непрерывный процесс - регулярное SAST/DAST-сканирование в CI/CD, обязательные security-гейты перед релизами и пересмотр подхода к обновлениям во второй половине года, когда риск ошибок объективно выше", - добавил Михаил Тимаев.

4% всех найденных уязвимостей за год имели максимальный уровень критичности (10/10) - это означает, что их легко эксплуатировать, и они дают хакерам практически неограниченные возможности для развития атаки. Что касается IV квартала 2025 г., то большая часть сетевых уязвимостей (69%) имела наиболее высокий или критичный уровень опасности, еще 25% имели средний уровень.

"Каждая уязвимость с максимальным баллом всегда уникальна, но доставляет очень много хлопот. При этом во всем виноваты не сами разработчики, а библиотеки, которые они использовали. От уязвимостей в цепочках поставки также никто не застрахован, недаром консорциум OWASP поставил этот класс уязвимостей на третье место в рейтинге 2025 г. Здесь можно посоветовать только одно - использовать решения типа WAF и технологию виртуального патчинга, чтобы оперативно закрывать появившиеся уязвимости и не допустить их эксплуатации автоматизированными средствами", - считает менеджер по развитию UserGate WAF ООО "Юзергейт" (UserGate) Виталий Абрамович.

Также эксперты Solar 4RAYS зафиксировали продолжение тренда на уязвимости в ИИ-сервисах. Всего за IV квартал 2025 г. обнаружено 10 брешей в подобных веб-приложениях.

"Интерес к теме искусственного интеллекта не угасает, новые стартапы в этой области появляются чуть ли не каждый день. Вокруг ИИ-моделей строят полноценные веб-приложения с API-интерфейсами, например, для взаимодействия с ними со сторонних ресурсов или через ИИ-агентов. К сожалению, в стремлении быстрее вывести на рынок новый продукт разработчики не всегда уделяют должное внимание безопасности: валидации входных данных, разграничению доступа к критичным API, проверке авторизации и т.д. Поэтому в 2026 г. в фокусе внимания злоумышленников могут оказаться именно такие сервисы", - отметил эксперт центра исследования киберугроз Solar 4RAYS Сергей Беляев.