В MITRE назвали самые опасные уязвимости программного обеспечения по итогам анализа за 2025 год
Изображение: recraft
Компания MITRE представила обновлённый перечень из 25 наиболее опасных уязвимостей программного обеспечения, актуальных по итогам 2025 года. В рамках подготовки списка специалисты зафиксировали более 39 тыс. проблем кибербезопасности, выявленных в период с июня 2024 года по июнь 2025 года. Публикация отражает текущее состояние угроз и демонстрирует, какие слабые места в программных продуктах чаще всего используются злоумышленниками.
Работа над рейтингом велась совместно с Институтом системной инженерии и развития национальной безопасности HSSEDI, а также с Агентством по кибербезопасности и защите инфраструктуры США CISA. Эти организации участвуют в сопровождении и развитии программы классификации общих уязвимостей CWE, которая применяется для систематизации и анализа проблем в программном коде и архитектуре цифровых решений.
В MITRE поясняют, что уязвимости программного обеспечения представляют собой ошибки и недочёты, возникающие на уровне кода, реализации, архитектурных решений либо проектирования. При их наличии злоумышленники получают возможность атаковать системы, использующие уязвимое ПО.
Успешная эксплуатация подобных слабых мест позволяет захватывать контроль над устройствами, инициировать атаки отказа в обслуживании либо получать доступ к конфиденциальной информации пользователей и организаций.
Для формирования рейтинга текущего года аналитики MITRE провели оценку каждой уязвимости по двум основным параметрам. Учитывались уровень серьёзности последствий и частота обнаружения. В основу анализа легли 39 080 записей CVE, зарегистрированных в период с 1 июня 2024 года по 1 июня 2025 года. Такой массив данных позволил определить наиболее системные и повторяющиеся проблемы, сохраняющие актуальность в масштабах всей отрасли.
Как и в предыдущие годы, первое место в списке заняла уязвимость межсайтового скриптинга CWE 79. При этом сам рейтинг претерпел заметные изменения. В сравнении с прошлогодней версией значительно поднялись такие категории, как отсутствие авторизации CWE 862, разыменование нулевого указателя CWE 476 и отсутствие аутентификации CWE 306. Аналитики отмечают, что рост этих позиций отражает изменение вектора атак и активное использование подобных слабых мест в реальных инцидентах.
В перечень наиболее серьёзных и распространённых проблем 2025 года также вошли переполнение классического буфера CWE 120, переполнение буфера на основе стека CWE 121, переполнение буфера на основе кучи CWE 122, некорректный контроль доступа CWE 284, обход авторизации с применением управляемого пользователем ключа CWE 639, а также выделение ресурсов без ограничений или регулирования CWE 770. Эти уязвимости продолжают представлять значительную опасность для корпоративных и пользовательских систем.
В MITRE заявили, что многие из перечисленных проблем сравнительно легко выявляются и используются на практике. По оценке специалистов компании, подобные уязвимости нередко приводят к сценариям, при которых злоумышленники получают полный контроль над системой, осуществляют кражу данных либо нарушают работу приложений и сервисов.
