MITRE обнародовала список 25 самых опасных проблем 2025 года
Специалисты MITRE представили ежегодный перечень из 25 наиболее опасных и распространённых слабых мест в программном обеспечении. По их оценке, именно эти категории ошибок стали причиной более 39 тысяч уязвимостей, опубликованных в период с июня 2024 по июнь 2025 года.
Доклад подготовили совместно с HSSEDI и Агентством по кибербезопасности и защите инфраструктуры США (CISA), курирующими программу Common Weakness Enumeration (CWE). Под такими слабостями понимают различные ошибки в коде, архитектуре, реализации или дизайне, которые могут стать точкой входа для злоумышленников, открыть доступ к конфиденциальным данным или вызвать отказ в обслуживании.
Отдельно подчёркивается, что CWE — это не сами уязвимости, а их первопричины. В отличие от CVE, фиксирующих конкретные случаи, CWE описывают типичные категории ошибок, которые со временем приводят к появлению CVE.
При составлении рейтинга эксперты проанализировали 39 080 опубликованных CVE и оценили их по распространённости и потенциальному вреду. Несмотря на изменения в списке, первое место снова заняла некорректная нейтрализация пользовательского ввода при генерации веб-страниц — межсайтовый скриптинг (XSS, CWE-79).
Также заметно выросла доля таких проблем, как отсутствие авторизации (CWE-862), разыменование нулевого указателя (CWE-476) и отсутствие аутентификации (CWE-306). В топ-25 вернулись и классические ошибки: переполнение буфера стека и хипа, неправильный контроль доступа и выделение ресурсов без ограничений.
Эти результаты ещё раз показывают, что даже хорошо известные типы ошибок остаются серьёзной угрозой и требуют постоянного внимания со стороны разработчиков и команд безопасности.
Рекомендуем также:
Последние новости Перми уже в твоем телефоне - подписывайся на телеграм-канал «Пермь Новости»
