Το MITER μοιράστηκε τη φετινή λίστα των 25 κορυφαίων με τις πιο επικίνδυνες αδυναμίες λογισμικού πίσω από πάνω από 39.000 ευπάθειες ασφαλείας που αποκαλύφθηκαν μεταξύ Ιουνίου 2024 και Ιουνίου 2025.
Ο κατάλογος κυκλοφόρησε σε συνεργασία με το Ινστιτούτο Μηχανικής και Ανάπτυξης Συστημάτων Εσωτερικής Ασφάλειας (HSSEDI) και την Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), που διαχειρίζονται και χορηγούν το πρόγραμμα Common Weakness Enumeration (CWE).
Οι αδυναμίες λογισμικού μπορεί να είναι ελαττώματα, σφάλματα, τρωτά σημεία ή σφάλματα που εντοπίζονται στον κώδικα, την υλοποίηση, την αρχιτεκτονική ή τη σχεδίαση ενός λογισμικού και οι εισβολείς μπορούν να τα καταχραστούν για να παραβιάσουν συστήματα που εκτελούν το ευάλωτο λογισμικό. Η επιτυχής εκμετάλλευση επιτρέπει στους παράγοντες απειλών να αποκτήσουν τον έλεγχο των παραβιασμένων συσκευών και να ενεργοποιήσουν επιθέσεις άρνησης υπηρεσίας ή να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.
Για να δημιουργήσετε τη φετινή κατάταξη, Σκόραρε ο ΜΙΤΕΡ κάθε αδυναμία με βάση τη σοβαρότητα και τη συχνότητά της μετά την ανάλυση 39.080 εγγραφών CVE για ευπάθειες που αναφέρθηκαν μεταξύ 1 Ιουνίου 2024 και 1 Ιουνίου 2025.
Κατά τη δέσμη ενεργειών μεταξύ τοποθεσιών (CWE-79) εξακολουθεί να διατηρεί τη θέση της στην κορυφή του Top 25, υπήρξαν πολλές αλλαγές στην κατάταξη από την περσινή λίστα, συμπεριλαμβανομένης της Missing Authorization (CWE-862), Παράθεση μηδενικού δείκτη (CWE-476), και λείπει έλεγχος ταυτότητας (CWE-306), τα οποία ήταν τα μεγαλύτερα κίνητρα στη λίστα.
Οι νέες συμμετοχές στις πιο σοβαρές και διαδεδομένες αδυναμίες του τρέχοντος έτους είναι το Classic Buffer Overflow (CWE-120), Υπερχείλιση buffer που βασίζεται σε στοίβα (CWE-121), Υπερχείλιση buffer που βασίζεται σε σωρό (CWE-122), Λανθασμένος έλεγχος πρόσβασης (CWE-284), Παράκαμψη εξουσιοδότησης μέσω κλειδιού ελεγχόμενου από τον χρήστη (CWE-639), και Κατανομή πόρων χωρίς όρια ή περιορισμούς (CWE-770).
| Τάξη | ταυτότητα | Ονομα | Σκορ | KEV CVE | Αλλαγή |
|---|---|---|---|---|---|
| 1 | CWE-79 | Διαδικτυακή δέσμη ενεργειών | 60,38 | 7 | 0 |
| 2 | CWE-89 | SQL Injection | 28,72 | 4 | +1 |
| 3 | CWE-352 | Παραχάραξη αιτημάτων μεταξύ τοποθεσιών (CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | Λείπει η εξουσιοδότηση | 13.28 | 0 | +5 |
| 5 | CWE-787 | Εκτός ορίων Γράψτε | 12,68 | 12 | -3 |
| 6 | CWE-22 | Διαδρομή μονοπατιού | 8,99 | 10 | -1 |
| 7 | CWE-416 | Χρήση μετά τη δωρεάν | 8.47 | 14 | +1 |
| 8 | CWE-125 | Εκτός ορίων Διαβάστε | 7,88 | 3 | -2 |
| 9 | CWE-78 | OS Command Injection | 7,85 | 20 | -2 |
| 10 | CWE-94 | Έγχυση κώδικα | 7,57 | 7 | +1 |
| 11 | CWE-120 | Κλασική υπερχείλιση buffer | 6,96 | 0 | N/A |
| 12 | CWE-434 | Απεριόριστη μεταφόρτωση αρχείου με επικίνδυνο τύπο | 6,87 | 4 | -2 |
| 13 | CWE-476 | NULL Παράθεση δείκτη | 6.41 | 0 | +8 |
| 14 | CWE-121 | Υπερχείλιση buffer που βασίζεται σε στοίβα | 5,75 | 4 | N/A |
| 15 | CWE-502 | Deserialization Μη αξιόπιστων Δεδομένων | 5.23 | 11 | +1 |
| 16 | CWE-122 | Υπερχείλιση buffer που βασίζεται σε σωρό | 5.21 | 6 | N/A |
| 17 | CWE-863 | Λανθασμένη εξουσιοδότηση | 4.14 | 4 | +1 |
| 18 | CWE-20 | Λανθασμένη επικύρωση εισόδου | 4.09 | 2 | -6 |
| 19 | CWE-284 | Λανθασμένος έλεγχος πρόσβασης | 4.07 | 1 | N/A |
| 20 | CWE-200 | Έκθεση ευαίσθητων πληροφοριών | 4.01 | 1 | -3 |
| 21 | CWE-306 | Λείπει έλεγχος ταυτότητας για κρίσιμη λειτουργία | 3.47 | 11 | +4 |
| 22 | CWE-918 | Παραχάραξη αιτημάτων από την πλευρά του διακομιστή (SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | Έγχυση εντολών | 3.15 | 2 | -10 |
| 24 | CWE-639 | Παράκαμψη εξουσιοδότησης μέσω κλειδιού ελεγχόμενου από το χρήστη | 2.62 | 0 | +6 |
| 25 | CWE-770 | Κατανομή πόρων χωρίς όρια ή περιορισμό | 2.54 | 0 | +1 |
“Συχνά εύκολο να βρεθούν και να εκμεταλλευτούν, αυτά μπορεί να οδηγήσουν σε εκμεταλλεύσιμα τρωτά σημεία που επιτρέπουν στους αντιπάλους να καταλάβουν πλήρως ένα σύστημα, να κλέψουν δεδομένα ή να αποτρέψουν τη λειτουργία των εφαρμογών.” είπε ο ΜΙΤΕΡ.
“Αυτή η ετήσια λίστα προσδιορίζει τις πιο κρίσιμες αδυναμίες που εκμεταλλεύονται οι αντίπαλοι για να παραβιάσουν συστήματα, να κλέψουν δεδομένα ή να διακόψουν υπηρεσίες. Η CISA και η MITER ενθαρρύνουν τους οργανισμούς να επανεξετάσουν αυτήν τη λίστα και να τη χρησιμοποιήσουν για να ενημερώσουν τις αντίστοιχες στρατηγικές ασφάλειας λογισμικού”, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) προστέθηκε.
Τα τελευταία χρόνια, η CISA έχει εκδώσει πολλαπλές ειδοποιήσεις “Secure by Design” επισημαίνοντας την επικράτηση ευρέως τεκμηριωμένων τρωτών σημείων που παραμένουν στο λογισμικό παρά τους διαθέσιμους μετριασμούς.
Ορισμένες από αυτές τις ειδοποιήσεις έχουν κυκλοφορήσει ως απάντηση σε συνεχιζόμενες κακόβουλες καμπάνιες, όπως μια ειδοποίηση του Ιουλίου 2024 που ζητά από τις εταιρείες τεχνολογίας να εξαλείψουν τις αδυναμίες της εισαγωγής εντολών στο μονοπάτι OS που εκμεταλλεύονται οι κινεζικοί χάκερ Velvet Ant σε επιθέσεις που στοχεύουν συσκευές αιχμής δικτύου Cisco, Palo Alto και Ivanti.
Αυτή την εβδομάδα, η υπηρεσία κυβερνοασφάλειας συμβούλεψε τους προγραμματιστές και τις ομάδες προϊόντων να επανεξετάσουν το 2025 CWE Top 25 για να εντοπίσουν βασικές αδυναμίες και να υιοθετήσουν πρακτικές Secure by Design, ενώ ζητήθηκε από τις ομάδες ασφαλείας να το ενσωματώσουν στις δοκιμές ασφαλείας των εφαρμογών τους και στις διαδικασίες διαχείρισης ευπάθειας.
Τον Απρίλιο του 2025, η CISA ανακοίνωσε επίσης ότι η κυβέρνηση των ΗΠΑ είχε παρατείνει τη χρηματοδότηση του MITRE για άλλους 11 μήνες για να διασφαλίσει τη συνέχεια του κρίσιμου προγράμματος Common Vulnerabilities and Exposures (CVE), μετά από προειδοποίηση από τον αντιπρόεδρο του MITER Yosry Barsoum ότι η κρατική χρηματοδότηση για τα προγράμματα CVE και CWE επρόκειτο να λήξει.
Το σπασμένο IAM δεν είναι απλώς ένα πρόβλημα πληροφορικής – ο αντίκτυπος κυματίζεται σε ολόκληρη την επιχείρησή σας.
Αυτός ο πρακτικός οδηγός καλύπτει γιατί οι παραδοσιακές πρακτικές IAM αποτυγχάνουν να συμβαδίζουν με τις σύγχρονες απαιτήσεις, παραδείγματα για το πώς φαίνεται το “καλό” IAM και μια απλή λίστα ελέγχου για τη δημιουργία μιας επεκτάσιμης στρατηγικής.
VIA: bleepingcomputer.com
