Специалисты MITRE опубликовали ежегодный рейтинг 25 самых опасных и распространенных проблем в программном обеспечении, которые стали причиной появления более 39 000 уязвимостей (раскрытых с июня 2024 по июнь 2025 года).
Отчет был подготовлен совместно с HSSEDI и Агентством по кибербезопасности и защите инфраструктуры США (CISA), курирующими программу Common Weakness Enumeration (CWE).
Под уязвимостями в ПО в данном случае подразумеваются самые разные проблемы, баги, уязвимости и ошибки, обнаруженные в коде, архитектуре, имплементациях или дизайне софта. Такие угрозы могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.
Отметим, что проблемы в списке MITRE имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.
При подготовке списка эксперты MITRE изучили информацию о 39 080 CVE, опубликованных за прошедший год, и оценили каждую на предмет распространенности и потенциального ущерба.
Несмотря на заметные изменения, произошедшие в рейтинге в этом году, первое место уже традиционно удерживает некорректная нейтрализация ввода во время генерации веб-страниц (XSS, межсайтовый скриптинг, CWE-79). Также отмечается, что резко набрали «популярность» отсутствие авторизации (CWE-862), разыменование нулевого указателя (CWE-476) и отсутствие аутентификации (CWE-306).
Одновременно с этим в топ-25 добавились несколько классических ошибок, включая переполнение буфера стека и хипа, а также некорректный контроль доступа и выделение ресурсов без ограничений.
Список топ-25 CWE 2025 года, составленный специалистами MITRE, выглядит следующим образом:
|Место
|ID
|Проблема
|Оценка
|Количество KEV (CVE)
|По сравнению с 2024 годом
|1
|CWE-79
|Некорректная нейтрализация ввода во время генерации веб-страницы (XSS, межсайтовый скриптинг)
|60.38
|7
|0
|2
|CWE-89
|SQL-инъекция
|28.72
|4
|+1
|3
|CWE-352
|Подделка межсайтовых запросов (CSRF)
|13.64
|0
|+1
|4
|CWE-862
|Отсутствие авторизации
|13.28
|0
|+5
|5
|CWE-787
|Out-of-bounds запись
|12.68
|12
|-3
|6
|CWE-22
|Обход каталога (Path Traversal)
|8.99
|10
|-1
|7
|CWE-416
|Use After Free
|8.47
|14
|+1
|8
|CWE-125
|Out-of-bounds чтение
|7.88
|3
|-2
|9
|CWE-78
|Инъекция команд на уровне ОС
|7.85
|20
|-2
|10
|CWE-94
|Инъекция кода
|7.57
|7
|+1
|11
|CWE-120
|Классическое переполнение буфера
|6.96
|0
|N/A
|12
|CWE-434
|Неограниченная загрузка файлов опасного типа
|6.87
|4
|-2
|13
|CWE-476
|Разыменование нулевого указателя
|6.41
|0
|+8
|14
|CWE-121
|Переполнение буфера стека
|5.75
|4
|N/A
|15
|CWE-502
|Десериализация недоверенных данных
|5.23
|11
|+1
|16
|CWE-122
|Переполнение буфера хипа
|5.21
|6
|N/A
|17
|CWE-863
|Некорректная авторизация
|4.14
|4
|+1
|18
|CWE-20
|Некорректная проверка ввода
|4.09
|2
|-6
|19
|CWE-284
|Ненадлежащий контроль доступа
|4.07
|1
|N/A
|20
|CWE-200
|Раскрытие чувствительных данных
|4.01
|1
|-3
|21
|CWE-306
|Отсутствие аутентификации для критической функции
|3.47
|11
|+4
|22
|CWE-918
|Подделка запросов на стороне сервера (SSRF)
|3.36
|0
|-3
|23
|CWE-77
|Инъекция команд
|3.15
|2
|-10
|24
|CWE-639
|Обход авторизации через управляемый пользователем ключ
|2.62
|0
|+6
|25
|CWE-770
|Выделение ресурсов без ограничений или троттлинга
|2.54
|0
|+1
В свою очередь, специалисты CISA отмечают, что список топ-25 CWE отражает наиболее критичные проблемы, которые атакующие регулярно используют в реальных атаках. Организациям рекомендуется учитывать этот рейтинг при разработке и пересмотре стратегий безопасности ПО.
Разработчикам и продуктовым командам настоятельно советуют изучить рейтинг и активнее внедрять принципы Secure by Design, а ИБ-специалистам — руководствоваться этим топ-25 в процессе тестирования приложений и управления уязвимостями.