Специалисты MITRE опубликовали ежегодный рейтинг 25 самых опасных и распространенных проблем в программном обеспечении, которые стали причиной появления более 39 000 уязвимостей (раскрытых с июня 2024 по июнь 2025 года).

Отчет был подготовлен совместно с HSSEDI и Агентством по кибербезопасности и защите инфраструктуры США (CISA), курирующими программу Common Weakness Enumeration (CWE).

Под уязвимостями в ПО в данном случае подразумеваются самые разные проблемы, баги, уязвимости и ошибки, обнаруженные в коде, архитектуре, имплементациях или дизайне софта. Такие угрозы могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.

Отметим, что проблемы в списке MITRE имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.

При подготовке списка эксперты MITRE изучили информацию о 39 080 CVE, опубликованных за прошедший год, и оценили каждую на предмет распространенности и потенциального ущерба.

Несмотря на заметные изменения, произошедшие в рейтинге в этом году, первое место уже традиционно удерживает некорректная нейтрализация ввода во время генерации веб-страниц (XSS, межсайтовый скриптинг, CWE-79). Также отмечается, что резко набрали «популярность» отсутствие авторизации (CWE-862), разыменование нулевого указателя (CWE-476) и отсутствие аутентификации (CWE-306).

Одновременно с этим в топ-25 добавились несколько классических ошибок, включая переполнение буфера стека и хипа, а также некорректный контроль доступа и выделение ресурсов без ограничений.

Список топ-25 CWE 2025 года, составленный специалистами MITRE, выглядит следующим образом:

Место ID Проблема Оценка Количество KEV (CVE) По сравнению с 2024 годом 1 CWE-79 Некорректная нейтрализация ввода во время генерации веб-страницы (XSS, межсайтовый скриптинг) 60.38 7 0 2 CWE-89 SQL-инъекция 28.72 4 +1 3 CWE-352 Подделка межсайтовых запросов (CSRF) 13.64 0 +1 4 CWE-862 Отсутствие авторизации 13.28 0 +5 5 CWE-787 Out-of-bounds запись 12.68 12 -3 6 CWE-22 Обход каталога (Path Traversal) 8.99 10 -1 7 CWE-416 Use After Free 8.47 14 +1 8 CWE-125 Out-of-bounds чтение 7.88 3 -2 9 CWE-78 Инъекция команд на уровне ОС 7.85 20 -2 10 CWE-94 Инъекция кода 7.57 7 +1 11 CWE-120 Классическое переполнение буфера 6.96 0 N/A 12 CWE-434 Неограниченная загрузка файлов опасного типа 6.87 4 -2 13 CWE-476 Разыменование нулевого указателя 6.41 0 +8 14 CWE-121 Переполнение буфера стека 5.75 4 N/A 15 CWE-502 Десериализация недоверенных данных 5.23 11 +1 16 CWE-122 Переполнение буфера хипа 5.21 6 N/A 17 CWE-863 Некорректная авторизация 4.14 4 +1 18 CWE-20 Некорректная проверка ввода 4.09 2 -6 19 CWE-284 Ненадлежащий контроль доступа 4.07 1 N/A 20 CWE-200 Раскрытие чувствительных данных 4.01 1 -3 21 CWE-306 Отсутствие аутентификации для критической функции 3.47 11 +4 22 CWE-918 Подделка запросов на стороне сервера (SSRF) 3.36 0 -3 23 CWE-77 Инъекция команд 3.15 2 -10 24 CWE-639 Обход авторизации через управляемый пользователем ключ 2.62 0 +6 25 CWE-770 Выделение ресурсов без ограничений или троттлинга 2.54 0 +1

В свою очередь, специалисты CISA отмечают, что список топ-25 CWE отражает наиболее критичные проблемы, которые атакующие регулярно используют в реальных атаках. Организациям рекомендуется учитывать этот рейтинг при разработке и пересмотре стратегий безопасности ПО.

Разработчикам и продуктовым командам настоятельно советуют изучить рейтинг и активнее внедрять принципы Secure by Design, а ИБ-специалистам — руководствоваться этим топ-25 в процессе тестирования приложений и управления уязвимостями.