Специалисты MITRE опубликовали обновлённый ежегодный рейтинг Top 25 Most Dangerous Software Weaknesses, отражающий наиболее критичные и массово эксплуатируемые проблемы в программном обеспечении. В основу перечня легли данные по 39 080 уязвимостям CVE, раскрытым в период с июня 2024 по июнь 2025 года. Список подготовлен при участии HSSEDI и Агентства по кибербезопасности и защите инфраструктуры США (CISA), курирующих программу Common Weakness Enumeration (CWE).
Речь идёт не о конкретных «дырах» в отдельных продуктах, а о типовых слабостях — логических ошибках, багов в реализации, сбоях архитектуры и дефектах дизайна, которые систематически приводят к появлению реальных уязвимостей. Именно эти слабые места становятся отправной точкой для атак: от кражи конфиденциальных данных и подмены сессий до удалённого выполнения кода и отказа в обслуживании.
Что такое CWE Top 25 и как он соотносится с CVE
Каждая проблема в рейтинге MITRE имеет собственный идентификатор формата CWE-XXX (Common Weakness Enumeration). Важно не путать их с CVE — Common Vulnerabilities and Exposures. Если упростить, то:
CWE описывает класс слабости (например, «некорректная нейтрализация входных данных в веб-страницах»), а CVE — конкретное проявление этой слабости в определённой версии продукта или библиотеки. То есть CWE — это первопричина, CVE — её конкретная реализация в реальном ПО.
При составлении рейтинга MITRE анализирует массив CVE за год и оценивает каждый тип слабости по двум ключевым параметрам: распространённость (насколько часто встречается) и потенциальный ущерб (каков возможный масштаб последствий при эксплуатации). На основе итогового балла формируется Top 25.
Ключевые тенденции CWE Top 25 2025
XSS вновь на вершине: CWE-79 как системная проблема веб-приложений
Первое место рейтинга уже традиционно занимает межсайтовый скриптинг (XSS, CWE-79) — некорректная нейтрализация пользовательского ввода при генерации веб-страниц. Несмотря на десятилетия обсуждения и наличие зрелых защитных практик, XSS остаётся одним из самых массовых и опасных векторов атак.
Причины очевидны: огромное количество веб-приложений, сложные интерфейсы, активное использование сторонних библиотек и фреймворков, а также человеческий фактор при проверке данных. Успешная эксплуатация XSS позволяет атакующему похищать cookie и токены, выполнять произвольный JavaScript в браузере жертвы, захватывать сессии и подменять содержимое страниц.
Авторизация и аутентификация: всплеск критичных нарушений
Отдельно отмечается резкий рост критичности следующих слабостей:
• Отсутствие авторизации (CWE-862) — доступ к функционалу или данным предоставляется без проверки прав пользователя. Это приводит к вертикальной и горизонтальной эскалации привилегий и прямым компрометирующим сценариям.
• Отсутствие аутентификации (CWE-306) — системы или отдельные сервисы работают вообще без проверки подлинности, что особенно опасно в микросервисной и облачной архитектуре, где «внутренние» API часто оказываются доступными извне.
Эти проблемы особенно актуальны на фоне широкого распространения веб‑API, мобильных и SaaS‑решений, где ошибки в моделировании доверия и ролей мгновенно превращаются в критические инциденты безопасности.
Классические ошибки памяти возвращаются в топ
В рейтинг 2025 года вновь вошёл ряд «классических» уязвимостей низкоуровневого кода: переполнение буфера стека и кучи, разыменование нулевого указателя (CWE-476), а также некорректный контроль доступа и выделение ресурсов без ограничений.
Хотя многие современные языки частично защищают от подобных ошибок на уровне рантайма, значительная часть критически важной инфраструктуры и по‑прежнему пишется на C/C++. С учётом того, что подобные баги позволяют выполнять произвольный код, обходить механизмы защиты и вызывать отказ в обслуживании, их возвращение в топ подчёркивает важность безопасного программирования на системных языках и внедрения практик memory-safe архитектуры.
Как организациям использовать рейтинг CWE Top 25
По оценке CISA, Top 25 CWE отражает те слабости, которые злоумышленники регулярно и успешно используют в реальных атаках. Поэтому список рассматривается как практический ориентир для выстраивания процессов безопасной разработки и управления уязвимостями.
Организациям и разработчикам целесообразно:
1. Встроить CWE Top 25 в процессы Secure by Design. При проектировании систем заранее проверять архитектурные решения на предмет типовых слабостей: авторизация, аутентификация, валидация входных данных, обработка ошибок, управление сессиями и ресурсами.
2. Настроить тестирование и код‑ревью под эти классы проблем. Использовать статический и динамический анализ кода с прицелом на обнаружение CWE из топ‑25, включать их в чек-листы мануального ревью и инициализации тест-кейсов.
3. Пересмотреть политики управления уязвимостями. Классы слабостей из рейтинга должны получать повышенный приоритет исправления — особенно в системах, обрабатывающих персональные данные, платёжную информацию или критичные бизнес‑процессы.
4. Обучать команды разработки и ИБ. Понимание, чем отличается CWE от CVE, как типовые слабости превращаются в реальные инциденты, и какие защитные шаблоны доступны, существенно снижает риск повторения одних и тех же ошибок.
Полный перечень CWE, вошедших в рейтинг 2025 года, доступен на официальном сайте MITRE. Регулярное обращение к этому списку и его использование в качестве «карты рисков» помогает компаниям укреплять свои приложения ещё на этапе проектирования и разработки, а не только на стадии реагирования на инциденты. В условиях роста числа уязвимостей и автоматизации атак это становится одним из ключевых элементов зрелой стратегии кибербезопасности.
