MITRE оприлюднила оновлений щорічний рейтинг Top 25 Most Dangerous Software Weaknesses (CWE Top 25), який відображає найбільш критичні та масово експлуатовані слабкості у програмному забезпеченні. Добірка ґрунтується на аналізі 39 080 уразливостей CVE, опублікованих у період з червня 2024 до червня 2025 року, і підготовлена за участю HSSEDI та Агентства з кібербезпеки та безпеки інфраструктури США (CISA) у рамках програми Common Weakness Enumeration (CWE).
CWE Top 25: як працює рейтинг та чим він відрізняється від CVE
Рейтинг MITRE описує не конкретні «дірки» в окремих продуктах, а типові слабкості — помилки проєктування, дефекти реалізації чи логічні прорахунки, які регулярно призводять до появи реальних уразливостей. Кожен такий тип проблеми має власний ідентифікатор формату CWE-XXX (Common Weakness Enumeration).
Важливо розрізняти CWE та CVE. CWE описує клас слабкості (наприклад, некоректна обробка вхідних даних у веб-застосунку), тоді як CVE (Common Vulnerabilities and Exposures) — це конкретне втілення такої слабкості в певній версії продукту, бібліотеки чи сервісу. Іншими словами, CWE — це першопричина, а CVE — її конкретна реалізація в реальному програмному забезпеченні.
Для формування CWE Top 25 2025 MITRE аналізує великий масив записів CVE за рік і оцінює кожен тип слабкості за двома ключовими параметрами: поширеність (частота появи уразливостей цього класу) та (масштаб можливих наслідків при експлуатації). Підсумковий бал визначає позицію слабкості у рейтингу.
Ключові тренди в рейтингу CWE Top 25 2025
CWE-79 (XSS): міжсайтовий скриптинг знову на вершині
Як і в попередні роки, перший рядок рейтингу посідає CWE-79 — міжсайтовий скриптинг (XSS), що пов’язаний з некоректною нейтралізацією користувацького вводу під час формування веб-сторінок. Попри зрілі рекомендації OWASP, наявність фреймворків із вбудованими механізмами екранування та багаторічний досвід спільноти, XSS лишається одним із наймасовіших векторів атак на веб-застосунки.
Причини системні: поширення складних SPA/RIА-інтерфейсів, активне використання сторонніх бібліотек, повторне використання компонентів без належної валідації та помилки розробників при перевірці і фільтрації даних. Успішна XSS-атака дає змогу зловмиснику красти cookie та токени доступу, виконувати довільний JavaScript у браузері жертви, перехоплювати сесії та підмінювати вміст сторінок.
Авторизація та аутентифікація: критичні помилки в моделях довіри
Рейтинг 2025 року демонструє помітне зростання критичності слабкостей, пов’язаних із контролем доступу. Насамперед це CWE-862 — відсутність авторизації, коли доступ до функцій чи даних надається без перевірки прав користувача. Наслідок — вертикальна та горизонтальна ескалація привілеїв: від перегляду чужих записів до виконання адміністративних операцій.
Не менш небезпечною є CWE-306 — відсутність аутентифікації, коли окремі сервіси або API працюють без перевірки особи клієнта. У світі мікросервісів та хмарних платформ це характерно для так званих «внутрішніх» сервісів, які через помилки конфігурації виявляються доступними ззовні. Один незахищений endpoint у веб‑API SaaS‑рішення або мобільного бекенду може призвести до повної компрометації облікових записів.
Класичні помилки роботи з пам’яттю повертаються в топ
Оновлений MITRE CWE Top 25 знову включає низку «класичних» уразливостей низькорівневого коду: переповнення буфера стека та купи, CWE-476 — розіменування нульового вказівника, а також проблеми некоректного контролю доступу і неконтрольованого виділення ресурсів.
Хоча сучасні мови на кшталт Java, C# чи Rust значною мірою знижують ризики помилок пам’яті на рівні рантайму, значний обсяг критично важливої інфраструктури (ОТ-системи, мережеве обладнання, високопродуктивні сервіси) усе ще реалізований на C/C++. Помилки керування пам’яттю залишаються одним із найрезультативніших способів досягти віддаленого виконання коду, обходу механізмів захисту та відмови в обслуговуванні, що й пояснює їхню стабільну присутність у топі.
Як компаніям використовувати CWE Top 25 у практичній кібербезпеці
За оцінкою CISA, CWE Top 25 відображає ті класи слабкостей, які зловмисники регулярно й успішно експлуатують у реальних атаках. Тому список доцільно застосовувати як практичний орієнтир при побудові процесів безпечної розробки та управління уразливостями (Vulnerability Management).
1. Інтегрувати CWE Top 25 у підхід Secure by Design. На етапі проєктування архітектури слід явно перевіряти моделі довіри, авторизації та аутентифікації, схеми валідації вхідних даних, управління сесіями, логування та обробку помилок. Наявність чек‑листів на базі топ‑25 допомагає запобігти появі системних слабкостей ще до написання коду.
2. Налаштувати тестування та код‑рев’ю під топ‑25. Статичний (SAST) і динамічний (DAST) аналіз коду варто конфігурувати так, щоб вони пріоритизували виявлення класів проблем із CWE Top 25 2025. Доцільно включати їх до checklist’ів мануального рев’ю, сценаріїв penetration‑тестів і автоматизованих перевірок у пайплайнах CI/CD.
3. Переглянути політики управління уразливостями. Уразливості, що відносяться до класів зі списку CWE Top 25, мають отримувати підвищений пріоритет виправлення — особливо в системах, що обробляють персональні дані, платіжну інформацію або критичні бізнес‑процеси. Це дозволяє сфокусувати ресурси на найбільш ризикованих напрямках.
4. Інвестувати в навчання команд розробки та безпеки. Розуміння різниці між CWE та CVE, типових шляхів експлуатації слабкостей і відповідних захисних шаблонів (secure coding patterns) суттєво зменшує ймовірність повторення однакових помилок від проєкту до проєкту. Регулярні тренінги, розбір інцидентів та робота з реальними прикладами CVE, прив’язаними до класів CWE, формують зрілу культуру безпеки.
Повний перелік слабкостей, включених до CWE Top 25 2025, доступний на офіційному сайті MITRE. Використання цього списку як «карти ризиків» дозволяє організаціям посилювати захист уже на етапі проєктування й розробки, а не лише реагувати на інциденти постфактум. В умовах стійкого зростання кількості уразливостей і автоматизації атак варто вже зараз переглянути власні практики безпечної розробки, оновити чек‑листи та провести цільовий аудит застосунків саме на предмет слабкостей із рейтингу CWE Top 25.
