Compania MITRE a lansat o versiune actualizată a listei Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses pentru a reflecta cele mai recente schimbări din peisajul amenințărilor cibernetice.
Vulnerabilitățile de tip cross-site scripting (XSS) și-au menținut primul loc, urmate de injecția SQL și cross-site request forgery (CSRF), fiecare urcând câte o poziție față de anul trecut.
„Lipsa autorizării” a ajuns pe locul al patrulea în lista CWE Top 25 pentru 2025, urcând cinci poziții, în timp ce „scrierea în afara limitelor” a ocupat locul al cincilea, coborând două poziții.
Top 10 include, de asemenea, vulnerabilități de tip path traversal, use-after-free, citire în afara limitelor, injecție de comenzi OS și injecție de cod.
În acest an, lista Top 25 include șase intrări noi, dintre care patru CWEs nu fuseseră clasificate în edițiile anterioare ale listei.
Acestea sunt: trei vulnerabilități de tip buffer overflow, control necorespunzător al accesului, ocolirea autorizării prin cheie controlată de utilizator și alocarea resurselor fără limite sau restricții.
Vulnerabilități precum gestionarea necorespunzătoare a privilegiilor, overflow sau wraparound de tip integer, autentificarea incorectă, consumul necontrolat de resurse, utilizarea de credențiale hardcodate și restricționarea necorespunzătoare a operațiunilor în limitele unui buffer de memorie au ieșit din lista CWE Top 25.
Aceste schimbări au fost influențate de modul în care au fost efectuate calculele Top 25 în trecut și de reducerea semnificativă a mapărilor. MITRE a publicat detalii despre modul în care a fost compilată lista pentru 2025 pe pagina metodologiei.
Potrivit agenției americane de securitate cibernetică CISA, lista CWE Top 25 pentru 2025 are rolul de a sprijini reducerea vulnerabilităților, de a crește eficiența costurilor, de a îmbunătăți încrederea clienților și a părților interesate și de a promova conștientizarea utilizatorilor.
CISA recomandă producătorilor de software să revizuiască lista și să aplice principiile Secure by Design în dezvoltarea produselor, iar echipelor de securitate să integreze lista în managementul vulnerabilităților și în testarea securității aplicațiilor.
