Компания MITRE опубликовала список из 25 самых опасных уязвимостей в программном обеспечении, которые привели к более чем 39 000 нарушений безопасности в период с июня 2024 года по июнь 2025 года.
Список был опубликован в сотрудничестве с Институтом проектирования и разработки систем национальной безопасности (HSSEDI) и Агентством по кибербезопасности и защите инфраструктуры (CISA), которые управляют программой Common Weakness Enumeration (CWE) и спонсируют её.
Слабые места программного обеспечения — это недостатки, баги, уязвимости или ошибки, обнаруженные в коде, реализации, архитектуре или дизайне программного обеспечения. Злоумышленники могут использовать их для взлома систем, работающих на уязвимом программном обеспечении. Успешная эксплуатация уязвимостей позволяет злоумышленникам получить контроль над скомпрометированными устройствами и проводить атаки типа «отказ в обслуживании» или получать доступ к конфиденциальным данным.
Чтобы составить рейтинг за этот год, компания MITRE оценила каждую уязвимость с точки зрения ее серьезности и частоты возникновения, проанализировав 39 080 записей CVE об уязвимостях, зарегистрированных в период с 1 июня 2024 года по 1 июня 2025 года.
Хотя межсайтовый скриптинг (CWE-79) по-прежнему занимает первое место в топ-25, по сравнению с прошлогодним списком рейтинг многих уязвимостей изменился, в том числе уязвимостей «Отсутствие авторизации» (CWE-862), «Разыменование нулевого указателя» (CWE-476) и «Отсутствие аутентификации» (CWE-306), которые поднялись в списке выше всех.
В этом году самыми серьёзными и распространёнными уязвимостями стали классическое переполнение буфера (CWE-120), переполнение буфера на основе стека (CWE-121), переполнение буфера на основе кучи (CWE-122), ненадлежащий контроль доступа (CWE-284), обход авторизации с помощью ключа, контролируемого пользователем (CWE-639), и выделение ресурсов без ограничений или регулирования (CWE-770).
| Ранг | ID | Имя | Оценка | KEV CVEs | Изменение |
|---|---|---|---|---|---|
| 1 | CWE-79 | Межсайтовый скриптинг | 60.38 | 7 | 0 |
| 2 | CWE-89 | SQL-инъекция | 28.72 | 4 | +1 |
| 3 | CWE-352 | Подделка межсайтовых запросов (CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | Отсутствует Авторизация | 13.28 | 0 | +5 |
| 5 | CWE-787 | Запись за пределами | 12.68 | 12 | -3 |
| 6 | CWE-22 | Прохождение пути | 8.99 | 10 | -1 |
| 7 | CWE-416 | Используйте После Бесплатного | 8.47 | 14 | +1 |
| 8 | CWE-125 | За пределами границ | 7.88 | 3 | -2 |
| 9 | CWE-78 | Внедрение команды операционной системы | 7.85 | 20 | -2 |
| 10 | CWE-94 | Внедрение кода | 7.57 | 7 | +1 |
| 11 | CWE-120 | Классическое Переполнение буфера | 6.96 | 0 | N/A |
| 12 | CWE-434 | Неограниченная загрузка файлов опасного типа | 6.87 | 4 | -2 |
| 13 | CWE-476 | Разыменование Нулевого указателя | 6.41 | 0 | +8 |
| 14 | CWE-121 | Переполнение буфера на основе стека | 5.75 | 4 | N/A |
| 15 | CWE-502 | Десериализация ненадёжных данных | 5.23 | 11 | +1 |
| 16 | CWE-122 | Переполнение буфера в куче | 5.21 | 6 | N/A |
| 17 | CWE-863 | Неправильная Авторизация | 4.14 | 4 | +1 |
| 18 | CWE-20 | Неправильная проверка входных данных | 4.09 | 2 | -6 |
| 19 | CWE-284 | Неправильный Контроль доступа | 4.07 | 1 | N/A |
| 20 | CWE-200 | Раскрытие конфиденциальной информации | 4.01 | 1 | -3 |
| 21 | CWE-306 | Отсутствует аутентификация для критической функции | 3.47 | 11 | +4 |
| 22 | CWE-918 | Подделка запросов на стороне сервера (SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | Ввод команды | 3.15 | 2 | -10 |
| 24 | CWE-639 | Обход авторизации с помощью ключа, управляемого пользователем | 2.62 | 0 | +6 |
| 25 | CWE-770 | Распределение ресурсов без ограничений или регулирования | 2.54 | 0 | +1 |
«Их часто легко обнаружить и использовать, что может привести к появлению уязвимостей, которые позволят злоумышленникам полностью захватить систему, украсть данные или нарушить работу приложений», — заявили в MITRE.
«В этом ежегодном списке определены наиболее критические уязвимости, которые злоумышленники используют для компрометации систем, кражи данных или нарушения работы сервисов. CISA и MITRE призывают организации ознакомиться с этим списком и использовать его для обоснования своих соответствующих стратегий обеспечения безопасности программного обеспечения «, — добавило Агентство кибербезопасности и безопасности инфраструктуры США (CISA).
В последние годы CISA выпустила множество предупреждений «Защищено по замыслу», указывающих на распространенность широко документированных уязвимостей, которые остаются в программном обеспечении, несмотря на доступные средства их устранения.
Некоторые из этих предупреждений были выпущены в ответ на продолжающиеся вредоносные кампании, например предупреждение от июля 2024 года, в котором технологическим компаниям предлагалось устранить уязвимости, связанные с внедрением команд в операционную систему, которыми воспользовались китайские хакеры из группировки Velvet Ant при атаках на сетевые периферийные устройства Cisco, Palo Alto и Ivanti.
На этой неделе агентство по кибербезопасности посоветовало разработчикам и командам, работающим над продуктами, изучить список 25 наиболее распространённых уязвимостей CWE за 2025 год, чтобы выявить ключевые недостатки и внедрить принципы Secure by Design. Командам по обеспечению безопасности было предложено интегрировать этот список в процессы тестирования безопасности приложений и управления уязвимостями.
В апреле 2025 года CISA также объявила, что правительство США продлило финансирование MITRE еще на 11 месяцев, чтобы обеспечить непрерывность программы critical Common Vulnerabilities and Exposities (CVE), после предупреждения вице-президента MITRE Йосри Барсума о том, что государственное финансирование программ CVE и CWE истекает.