Выявлены 50 самых популярных уязвимостей 2025 года
Из более чем 10 тысяч CVE, опубликованных в 2025 году, эксплойты существовали для 21%, но реально использовались злоумышленниками лишь 1%. При этом больше половины уязвимостей, задействованных программами-вымогателями, оказались zero-day. Такие данные приводит VulnCheck в ежегодном отчете, отмечая также резкий рост числа эксплойтов — на 16,5% за год — во многом благодаря ИИ. Эти же уязвимости используют злоумышленники в РФ, и, по прогнозу экспертов, продолжат использовать в 2026 году.
Для 21% опубликованных в 2025 году уязвимостей был доступен эксплойт. Но только 1% уязвимостей использовался злоумышленниками. При этом более половины уязвимостей, которые используют программы-вымогатели, относились к типу zero-day. Это следует из ежегодного отчета VulnCheck, в котором компания привела перечень 50 регулярно используемых в 2025 году CVE.
Из отчета следует, что VulnCheck добавила 884 уязвимости в собственный набор данных Known Exploited Vulnerabilities (KEV) в 2025 году на основе доказанной эксплуатации. Данные для набора составлялись из 118 уникальных источников. При этом, в 2025 году база данных KEV VulnCheck на 47,7% состояла из CVE с идентификаторами от 2025 года. В компании отмечают, что это «подчеркивает скорость, с которой злоумышленники разрабатывают и развертывают эксплойты для новых уязвимостей».
В компании также отметили, что в 2025 году VulnCheck отследила более 14,4 тыс эксплойтов, нацеленных на 10,4 тыс CVE. Покрытие эксплойтами CVE выросло на 16,5% относительно 2024 года. Как объясняют в VulnCheck, это связано с распространенностью кода, созданного с помощью ИИ. «Это наводняет команды безопасности низкокачественными индикаторами риск и неоптимальными средствами обнаружения», считают в VulnCheck.
При этом отмечается, что несмотря на распространенность открытых деталей об уязвимостях, лишь 1% CVE был использован в атаках в 2025 году.
Попытки использования уязвимостей, описанных в отчете VulnCheck есть и в России, говорит ведущий эксперт Kaspersky GReAT Борис Ларин. «Дело в том, что как только появляется общедоступный эксплойт для известной уязвимости, все злоумышленники начинают массово его использовать», — подчеркивает он. Для устранения уязвимости достаточно установить обновление, продолжает Ларин, однако пользователи часто пренебрегают этим, как например с обновлением WinRAR.
Старший специалист по исследованию киберугроз компании «Перспективный мониторинг» (ГК «ИнфоТеКС») Александр Рудзик приводит уязвимости из списка VulnCheck 2025 по ключевым продуктам, актуальным для РФ-сегмента:
| Продукт | CVE | Тип уязвимости |
| Fortinet FortiOS / FortiProxy | CVE-2024-55591 | Аутентификация обход |
| Fortinet FortiOS / FortiProxy | CVE-2025-24472 | Аутентификация обход |
| Fortinet FortiWeb | CVE-2025-25257 | SQL-инъекция |
| Fortinet FortiWeb | CVE-2025-64446 | Path Traversal |
| SonicWall SonicOS SSL-VPN | CVE-2024-53704 | Improper Authentication |
| Cisco ASA & FTD | CVE-2025-20363 | Heap-based буферное переполнение |
| Citrix NetScaler ADC / Gateway | CVE-2025-5777 | Out-of-Bounds Read |
Корпоративные и серверные платформы:
| Продукт | CVE | Тип уязвимости |
| Microsoft SharePoint | CVE-2025-49704 | Code Injection |
| CVE-2025-49706 | Improper Authentication | |
| CVE-2025-53770 | Deserialization | |
| CVE-2025-53771 | Improper Authentication | |
| SAP NetWeaver | CVE-2025-31324 | Unrestricted File Upload |
| Roundcube Webmail | CVE-2025-49113 | Deserialization |
| VMware ESXi / Workstation / Fusion | CVE-2025-22224 / CVE-2025-22225 / CVE-2025-22226 | TOCTOU / Arbitrary Write / Disclosure |
Другие веб-ориентированные сервисы и компоненты:
| Продукт | CVE | Тип уязвимости |
| Apache Tomcat | CVE-2025-24813 | Path Equivalence |
| XWiki Platform | CVE-2025-24893 | Eval Injection |
| Microsoft WSUS | CVE-2025-59287 | Deserialization |
| Git Link | CVE-2025-48384 | Link Following |
| Vacron NVR | CVE-2025-34043 | Remote Command Injection |
| Motex LANSCOPE | CVE-2025-61932 | Improper Verification |
Руководитель направления EASM, компании BI.ZONE Павел Загуменнов отдельно отмечает уязвимость WSUS CVE-2025-59287 из списка VulnCheck. «Несмотря на крайне высокую критичность самого сервиса (это служба обновления Windows Server), сотни таких служб опубликованы в сети. Компрометация сервера обновления имеет катастрофические последствия для Windows — инфраструктуры компании», — предупреждает он. Чаще всего, отмечает Загуменнов, злоумышленники эксплуатируют уязвимости в софте для удаленного доступа и управления, а также веб-порталах на SharePoint, среди группировок использующие такие подходы он назвал Lenient Wolf и Subtle Werewolf.
Высока вероятность, что в этом году злоумышленники продолжат эксплуатировать уязвимость React2Shell в компонентах фреймворка React, говорит Павел Загуменнов. По его словам, это может быть связано со сложностями в определении инстансов (экземпляров) веб-приложений, которые действительно можно использовать в атаке, а также с широким распространением самого фреймворка.
По прогнозу Александра Рудзика, в 2026 году продолжится доминирование атак на пограничную инфраструктуру и корпоративные платформы совместной работы. «С высокой вероятностью новые zero-day уязвимости в VPN-решениях, веб-серверах и ERP-системах будут оперативно интегрироваться в инструментарий криминальных группировок», — говорит он, добавляя, что дополнительным фактором риска станет дальнейшая автоматизация эксплуатации, включая использование скриптов массового сканирования и готовых exploit-китов.
По прогнозу Ларина злоумышленники продолжат попытки использовать эти уязвимости на протяжении всего 2026 года: «Опыт показывает, что злоумышленники используют известные уязвимости годами — как ни странно, но мы до сих пор обнаруживаем попытки использования уязвимостей десятилетней давности», — заключил он.
Читайте также
