De la primele bug-uri de cod care au zguduit comunitatea tehnică până la rapoartele moderne CVE, vulnerabilitățile software rămân o problemă constantă și pragmatică. MITRE, împreună cu Homeland Security Systems Engineering and Development Institute și Cybersecurity and Infrastructure Security Agency, a publicat Top 25 al celor mai periculoase slăbiciuni software, bazat pe analiza a 39.080 de înregistrări CVE raportate între 1 iunie 2024 și 1 iunie 2025, iar rezultatele indică ce erori permit încă adversarilor să compromită sisteme, să sustragă date sau să întrerupă servicii.
O slăbiciune software poate fi un bug în cod, o implementare greșită, o problemă de arhitectură sau un design neadecvat, iar actorii malițioși le pot exploata pentru a prelua controlul unui dispozitiv, a provoca indisponibilitatea aplicațiilor sau a accesa informații sensibile. Pentru întocmirea clasamentului, MITRE a evaluat fiecare tip de slăbiciune după frecvență și severitate. Pe primul loc se menține Cross-site Scripting, identificat ca CWE-79, cu scor 60.38 și 7 CVE incluse în KEV. Pe poziția a doua apare SQL Injection, CWE-89, scor 28.72 și 4 CVE KEV, iar pe trei este Cross-Site Request Forgery, CWE-352, scor 13.64 și fără CVE în KEV în această perioadă. Missing Authorization, CWE-862, a urcat semnificativ până pe locul 4, cu scor 13.28, un avans de cinci poziții față de anul trecut. Alte poziții notabile sunt Out-of-bounds Write, CWE-787, pe cinci cu scor 12.68 și 12 CVE KEV; Path Traversal, CWE-22, pe șase cu scor 8.99 și 10 CVE KEV; și Use After Free, CWE-416, pe șapte cu scor 8.47 și 14 CVE KEV.
Printre schimbările majore de poziție se numără NULL Pointer Dereference, CWE-476, care a urcat opt locuri până pe 13, și Missing Authentication for Critical Function, CWE-306, care a câștigat patru locuri până pe 21. În categoria intrărilor noi în top regăsim Classic Buffer Overflow, CWE-120, pe locul 11; Stack-based Buffer Overflow, CWE-121, pe 14; Heap-based Buffer Overflow, CWE-122, pe 16; Improper Access Control, CWE-284, pe 19; Authorization Bypass Through User-Controlled Key, CWE-639, pe 24; și Allocation of Resources Without Limits or Throttling, CWE-770, pe 25. Alte exemple menționate în listă includ Out-of-bounds Read, CWE-125, Code Injection, CWE-94, Unrestricted Upload of File with Dangerous Type, CWE-434, Deserialization of Untrusted Data, CWE-502, și Server-Side Request Forgery, CWE-918. Observațiile MITRE subliniază că multe dintre aceste slăbiciuni sunt relativ ușor de detectat și exploatat, ceea ce le conferă un pericol practic, nu doar teoretic.
CISA a evidențiat utilitatea listei pentru echipele de dezvoltare și cele de securitate, recomandând integrarea ei în strategiile Secure by Design, în testarea aplicațiilor și în procesele de management al vulnerabilităților. Agenția a emis în ultimii ani mai multe alerte Secure by Design, inclusiv una din iulie 2024 care a atenționat asupra vulnerabilităților de OS command injection folosite de grupul Velvet Ant în atacuri asupra echipamentelor Cisco, Palo Alto și Ivanti. Totodată, în aprilie 2025 CISA a anunțat că finanțarea guvernului american pentru MITRE a fost extinsă cu 11 luni pentru a asigura continuitatea programului CVE, după avertismentul lui Yosry Barsoum, vicepreședinte MITRE, privind riscul întreruperii finanțării.
Pe lângă clasament, lista oferă date concrete despre cât de frecvent apar anumite tipuri de vulnerabilități în KEV: de exemplu, OS Command Injection, CWE-78, are 20 de CVE în KEV; Use After Free are 14; iar Deserialization of Untrusted Data are 11. Aceste cifre ajută echipele să prioritizeze remediile nu numai pe baza teoriei, ci și în funcție de impactul observat în practică. Recomandarea practică este clară: includerea acestor slăbiciuni în procedurile de testare, adoptarea principiilor Secure by Design și menținerea unei politici stricte de actualizări și patch-uri pentru componentele critice.
Cross-site Scripting CWE-79 apare din nou pe primul loc în Top 25 2025, ceea ce evidențiază cât de rezistentă la corecții rămâne această clasă de vulnerabilități. Implementarea principiilor Secure by Design, utilizarea limbajelor și runtime-urilor cu gestionare sigură a memoriei pentru componentele critice și testarea automată pentru situații frecvente precum injecții SQL, traversări de cale sau încărcări de fișiere periculoase pot diminua expunerea. Exemplele concrete din listă, cum sunt cele 39.080 de CVE analizate, CEWele 120, 121 și 122 legate de overflow, și incidentele care au vizat Cisco, Palo Alto și Ivanti, arată că măsurile tehnice și procesele organizaționale trebuie implementate concomitent. Ce schimbări crezi că ar trebui prioritizate în echipa ta pentru a răspunde mai eficient la aceste tipuri de slăbiciuni?
Fii primul care comentează