Nel primo trimestre del 2025 sono stati identificati ben 159 CVE sfruttati attivamente, un aumento rispetto ai 151 del quarto trimestre del 2024. Secondo un rapporto di VulnCheck, il 28.3% di queste vulnerabilità è stato sfruttato entro un solo giorno dalla loro divulgazione. Questo dato si traduce in 45 falle di sicurezza che sono state utilizzate in attacchi reali entro 24 ore dalla loro pubblicazione. Altre 14 vulnerabilità sono state sfruttate entro un mese, mentre 45 sono state abusate nell'arco di un anno.

La maggior parte delle vulnerabilità sfruttate è stata riscontrata nei sistemi di gestione dei contenuti (CMS), seguiti da dispositivi di rete, sistemi operativi, software open source e software server. La distribuzione è la seguente: 35 nei CMS, 29 nei dispositivi di rete, 24 nei sistemi operativi, 14 nel software open source e 14 nel software server.

Tra i fornitori principali e i loro prodotti che sono stati sfruttati durante questo periodo ci sono Microsoft Windows con 15 vulnerabilità, Broadcom VMware con 6, Cyber PowerPanel con 5, Litespeed Technologies con 4 e i router TOTOLINK con 4.

In media, sono stati divulgati 11.4 KEV alla settimana e 53 al mese. Il CISA KEV ha aggiunto 80 vulnerabilità durante il trimestre, ma solo 12 di queste non avevano mostrato alcuna prova pubblica di sfruttamento precedente.

Delle 159 vulnerabilità, il 25.8% è ancora in fase di analisi o in attesa di valutazione da parte del NIST National Vulnerability Database (NVD), mentre il 3.1% è stato assegnato alla nuova categoria "Deferred".

Secondo il rapporto 2025 sul Data Breach Investigations di Verizon, lo sfruttamento delle vulnerabilità come passo iniziale per le violazioni dei dati è aumentato del 34%, rappresentando il 20% di tutte le intrusioni. Inoltre, i dati raccolti da Mandiant, di proprietà di Google, hanno rivelato che gli exploit sono stati il vettore di infezione iniziale più frequentemente osservato per il quinto anno consecutivo, con le credenziali rubate che hanno superato il phishing come secondo vettore di accesso iniziale più frequentemente osservato.

Mentre gli attaccanti continuano a cercare di eludere la rilevazione, i difensori stanno migliorando nell'identificare le compromissioni. Il tempo medio globale di permanenza, ovvero il numero di giorni in cui un attaccante rimane in un sistema prima di essere rilevato, è stato fissato a 11 giorni, con un aumento di un giorno rispetto al 2023.