Специалисты MITRE опубликовали ежегодный рейтинг 25 самых опасных и распространенных проблем в программном обеспечении, которые стали причиной появления более 39 000 уязвимостей (раскрытых с июня 2024 по июнь 2025 года).
Отчет был подготовлен совместно с HSSEDI и Агентством по кибербезопасности и защите инфраструктуры США (CISA), курирующими программу Common Weakness Enumeration (CWE).
Под уязвимостями в ПО в данном случае подразумеваются самые разные проблемы, баги, уязвимости и ошибки, обнаруженные в коде, архитектуре, имплементациях или дизайне софта. Такие угрозы могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.
Отметим, что проблемы в списке MITRE имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.
При подготовке списка эксперты MITRE изучили информацию о 39 080 CVE, опубликованных за прошедший год, и оценили каждую на предмет распространенности и потенциального ущерба.
Несмотря на заметные изменения, произошедшие в рейтинге в этом году, первое место уже традиционно удерживает некорректная нейтрализация ввода во время генерации веб-страниц (XSS, межсайтовый скриптинг, CWE-79). Также отмечается, что резко набрали «популярность» отсутствие авторизации (CWE-862), разыменование нулевого указателя (CWE-476) и отсутствие аутентификации (CWE-306).
Одновременно с этим в топ-25 добавились несколько классических ошибок, включая переполнение буфера стека и хипа, а также некорректный контроль доступа и выделение ресурсов без ограничений.
Список топ-25 CWE 2025 года, составленный специалистами MITRE, выглядит следующим образом:
| Место | ID | Проблема | Оценка | Количество KEV (CVE) | По сравнению с 2024 годом |
| 1 | CWE-79 | Некорректная нейтрализация ввода во время генерации веб-страницы (XSS, межсайтовый скриптинг) | 60.38 | 7 | 0 |
| 2 | CWE-89 | SQL-инъекция | 28.72 | 4 | +1 |
| 3 | CWE-352 | Подделка межсайтовых запросов (CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | Отсутствие авторизации | 13.28 | 0 | +5 |
| 5 | CWE-787 | Out-of-bounds запись | 12.68 | 12 | -3 |
| 6 | CWE-22 | Обход каталога (Path Traversal) | 8.99 | 10 | -1 |
| 7 | CWE-416 | Use After Free | 8.47 | 14 | +1 |
| 8 | CWE-125 | Out-of-bounds чтение | 7.88 | 3 | -2 |
| 9 | CWE-78 | Инъекция команд на уровне ОС | 7.85 | 20 | -2 |
| 10 | CWE-94 | Инъекция кода | 7.57 | 7 | +1 |
| 11 | CWE-120 | Классическое переполнение буфера | 6.96 | 0 | N/A |
| 12 | CWE-434 | Неограниченная загрузка файлов опасного типа | 6.87 | 4 | -2 |
| 13 | CWE-476 | Разыменование нулевого указателя | 6.41 | 0 | +8 |
| 14 | CWE-121 | Переполнение буфера стека | 5.75 | 4 | N/A |
| 15 | CWE-502 | Десериализация недоверенных данных | 5.23 | 11 | +1 |
| 16 | CWE-122 | Переполнение буфера хипа | 5.21 | 6 | N/A |
| 17 | CWE-863 | Некорректная авторизация | 4.14 | 4 | +1 |
| 18 | CWE-20 | Некорректная проверка ввода | 4.09 | 2 | -6 |
| 19 | CWE-284 | Ненадлежащий контроль доступа | 4.07 | 1 | N/A |
| 20 | CWE-200 | Раскрытие чувствительных данных | 4.01 | 1 | -3 |
| 21 | CWE-306 | Отсутствие аутентификации для критической функции | 3.47 | 11 | +4 |
| 22 | CWE-918 | Подделка запросов на стороне сервера (SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | Инъекция команд | 3.15 | 2 | -10 |
| 24 | CWE-639 | Обход авторизации через управляемый пользователем ключ | 2.62 | 0 | +6 |
| 25 | CWE-770 | Выделение ресурсов без ограничений или троттлинга | 2.54 | 0 | +1 |
В свою очередь, специалисты CISA отмечают, что список топ-25 CWE отражает наиболее критичные проблемы, которые атакующие регулярно используют в реальных атаках. Организациям рекомендуется учитывать этот рейтинг при разработке и пересмотре стратегий безопасности ПО.
Разработчикам и продуктовым командам настоятельно советуют изучить рейтинг и активнее внедрять принципы Secure by Design, а ИБ-специалистам — руководствоваться этим топ-25 в процессе тестирования приложений и управления уязвимостями.
