Compania MITRE a lansat versiunea actualizata a listei Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses, adaptata contextului actual al amenintarilor cibernetice din 2025. Clasamentul evidentiaza cele mai frecvente si periculoase slabiciuni de securitate identificate in aplicatii si sisteme software, oferind un instrument esential pentru prioritizarea masurilor de protectie.

Vulnerabilitatile de tip cross-site scripting (XSS) isi mentin pozitia de lider in top, confirmand faptul ca atacurile care exploateaza injectarea de scripturi raman o amenintare majora. Pe locurile urmatoare se situeaza injectia SQL si cross-site request forgery (CSRF), ambele urcand cate o pozitie fata de editia precedenta, pe fondul exploatarii continue in aplicatii web si sisteme enterprise.

Un salt semnificativ este inregistrat de categoria „lipsa autorizarii”, care ajunge pe locul al patrulea in clasamentul pentru 2025, urcand cinci pozitii. Aceasta evolutie subliniaza riscurile generate de controale insuficiente de acces si de implementari defectuoase ale mecanismelor de autorizare. In schimb, vulnerabilitatea „scriere in afara limitelor” coboara doua pozitii, ocupand locul al cincilea.

Top 10 este completat de alte slabiciuni critice, precum path traversal, use-after-free, citirea in afara limitelor, injectia de comenzi la nivelul sistemului de operare si injectia de cod, toate avand un impact major asupra integritatii si confidentialitatii sistemelor afectate.

Editia din 2025 introduce sase intrari noi in lista Top 25, dintre care patru vulnerabilitati nu fusesera incluse in clasamentele anterioare. Acestea includ trei tipuri distincte de buffer overflow, controlul necorespunzator al accesului, ocolirea mecanismelor de autorizare prin utilizarea unei chei controlate de utilizator, precum si alocarea de resurse fara limite sau restrictii, o problema frecventa in aplicatiile moderne scalabile.

In acelasi timp, mai multe vulnerabilitati au iesit din clasament, printre care gestionarea necorespunzatoare a privilegiilor, overflow sau wraparound de tip integer, autentificarea incorecta, consumul necontrolat de resurse, utilizarea de credentiale hardcodate si restrictionarea incorecta a operatiunilor in limitele unui buffer de memorie.

MITRE precizeaza ca modificarile din acest an sunt influentate de ajustari metodologice, de modul in care au fost realizate calculele Top 25 in trecut si de reducerea semnificativa a maparilor utilizate. Detalii complete privind metodologia aplicata pentru editia 2025 sunt disponibile pe pagina oficiala MITRE dedicata procesului de evaluare.

Potrivit Agentiei pentru Securitate Cibernetica si a Infrastructurii din SUA (CISA), lista CWE Top 25 pentru 2025 are rolul de a sprijini reducerea vulnerabilitatilor, optimizarea costurilor de securitate, cresterea increderii clientilor si a partilor interesate, precum si consolidarea nivelului de constientizare in randul utilizatorilor.

CISA recomanda producatorilor de software sa analizeze atent lista si sa aplice principiile Secure by Design in dezvoltarea produselor, iar echipelor de securitate sa integreze aceste informatii in procesele de management al vulnerabilitatilor si in activitatile de testare a securitatii aplicatiilor.

sursa: https://digitalio.ro/2025/12/15/cele-mai-periculoase-25-de-vulnerabilitati-software-din-2025/