Το MITER αποκάλυψε τη λίστα με τις κορυφαίες 25 πιο επικίνδυνες αδυναμίες λογισμικού για το 2025 Common Weakness Enumeration (CWE™), επισημαίνοντας τις βαθύτερες αιτίες πίσω από τα 39.080 αρχεία Common Vulnerability and Exposure (CVE™) φέτος.
Αυτά τα διαδεδομένα ελαττώματα, τα οποία είναι συχνά εύκολο να εντοπιστούν και να εκμεταλλευτούν, επιτρέπουν στους εισβολείς να κατακτήσουν τον έλεγχο του συστήματος, να κλέψουν ευαίσθητα δεδομένα ή να ακρωτηριάσουν εφαρμογές.
Οι προγραμματιστές, οι ομάδες ασφαλείας και τα στελέχη έχουν τώρα έναν οδικό χάρτη για να δώσουν προτεραιότητα στις διορθώσεις και να αναδιαμορφώσουν τους κύκλους ζωής ανάπτυξης λογισμικού (SDLC).
Η ετήσια κατάταξη, που βασίζεται σε δεδομένα CVE του πραγματικού κόσμου, γίνεται όλο και πιο σημαντική εν μέσω κλιμάκωσης των απειλών στον κυβερνοχώρο.
Τα ελαττώματα της ένεσης και η καταστροφή της μνήμης παραμένουν κυρίαρχα, αλλά οι αλλαγές αποκαλύπτουν εξελισσόμενους κινδύνους. Η δέσμη ενεργειών μεταξύ τοποθεσιών (CWE-79) παραμένει στην κορυφή παρά την ολίσθηση από το προβάδισμα του περασμένου έτους, με επτά γνωστά εκμεταλλευόμενα τρωτά σημεία (KEV).
Το OS Command Injection (CWE-78) παραμένει απειλή υψηλού αντίκτυπου, με 20 KEV.
Αυτή η λίστα οδηγεί σε δράση σε διάφορους τομείς:
- Μείωση ευπάθειας: Εντοπίζει τις βαθύτερες αιτίες, όπως σφάλματα ασφάλειας μνήμης, καθοδηγώντας τις βελτιώσεις SDLC.
- Εξοικονόμηση κόστους: Λιγότερες ατέλειες σημαίνουν λιγότερη ενημέρωση κώδικα μετά την κυκλοφορία.
- Ανάλυση Τάσεων: Παρακάμπτει τις εξουσιοδοτήσεις εν μέσω επεκτάσεων cloud.
- Προτεραιότητα εκμεταλλευσιμότητας: Το KEV μετράει σημαία άμεσους κινδύνους.
- Εμπιστοσύνη πελατών: Οι δημόσιες δεσμεύσεις για διορθώσεις οικοδομούν εμπιστοσύνη.
Στους νεοφερμένους αρέσει Η κλασική υπερχείλιση buffer (CWE-120) και ο εσφαλμένος έλεγχος πρόσβασης (CWE-284) σηματοδοτούν κενά μνήμης και εξουσιοδότησης στις βάσεις κωδικών παλαιού τύπου.
2025 CWE Top 25 Σύνοψη
| Τάξη | CWE ID & Όνομα | CVE στο KEV | Κατάταξη Πέρυσι |
|---|---|---|---|
| 1 | CWE-79: Διαδικτυακή δέσμη ενεργειών | 7 | 1 |
| 2 | CWE-89: SQL Injection | 4 | 3 (↑1) |
| 3 | CWE-352: CSRF | 0 | 4 (↑1) |
| 4 | CWE-862: Λείπει η εξουσιοδότηση | 0 | 9 (↑5) |
| 5 | CWE-787: Γράψτε εκτός ορίων | 12 | 2 (↓3) |
| 6 | CWE-22: Path Traversal | 10 | 5 (↓1) |
| 7 | CWE-416: Χρήση μετά τη δωρεάν | 14 | 8 (↑1) |
| 8 | CWE-125: Διαβάστηκε εκτός ορίων | 3 | 6 (↓2) |
| 9 | CWE-78: OS Command Injection | 20 | 7 (↓2) |
| 10 | CWE-94: Code Injection | 7 | 11 (↑1) |
| 11 | CWE-120: Κλασική υπερχείλιση buffer | 0 | N/A |
| 12 | CWE-434: Απεριόριστη μεταφόρτωση αρχείων | 4 | 10 (↓2) |
| 13 | CWE-476: NULL Παράθεση δείκτη | 0 | 21 (↑8) |
| 14 | CWE-121: Υπερχείλιση buffer που βασίζεται σε στοίβα | 4 | N/A |
| 15 | CWE-502: Deserialization των μη αξιόπιστων δεδομένων | 11 | 16 (↑1) |
| 16 | CWE-122: Υπερχείλιση buffer που βασίζεται σε σωρό | 6 | N/A |
| 17 | CWE-863: Λανθασμένη εξουσιοδότηση | 4 | 18 (↑1) |
| 18 | CWE-20: Λανθασμένη επικύρωση εισόδου | 2 | 12 (↓6) |
| 19 | CWE-284: Λανθασμένος έλεγχος πρόσβασης | 1 | N/A |
| 20 | CWE-200: Έκθεση ευαίσθητων πληροφοριών | 1 | 17 (↓3) |
| 21 | CWE-306: Λείπει ο έλεγχος ταυτότητας | 11 | 25 (↑4) |
| 22 | CWE-918: SSRF | 0 | 19 (↓3) |
| 23 | CWE-77: Έγχυση εντολών | 2 | 13 (↓10) |
| 24 | CWE-639: Παράκαμψη εξουσιοδότησης | 0 | 30 (↑6) |
| 25 | CWE-770: Κατανομή πόρων χωρίς όρια | 0 | 26 (↑1) |
Ζητήματα ασφάλειας της μνήμης (π.χ. υπερχείλιση buffer) συμβαίνουν συχνά, προκαλώντας την υιοθέτηση του Rust ή της ασφαλέστερης C++. Οι εφαρμογές Ιστού αντιμετωπίζουν προβλήματα έγχυσης και ελέγχου ταυτότητας, ενώ σοβαρά ελαττώματα του KEV, όπως η χρήση μετά τη δωρεάν, απαιτούν έλεγχο μηδενικής εμπιστοσύνης.
Οι οργανισμοί θα πρέπει να ελέγχουν τις βάσεις κωδικών σε σχέση με αυτήν τη λίστα, να ενσωματώνουν ελέγχους CWE στους αγωγούς CI/CD τους και να ασκούν πίεση στους προμηθευτές για διαφάνεια.
