Το MITER αποκάλυψε τη λίστα με τις κορυφαίες 25 πιο επικίνδυνες αδυναμίες λογισμικού για το 2025 Common Weakness Enumeration (CWE™), επισημαίνοντας τις βαθύτερες αιτίες πίσω από τα 39.080 αρχεία Common Vulnerability and Exposure (CVE™) φέτος.
Αυτά τα διαδεδομένα ελαττώματα, τα οποία είναι συχνά εύκολο να εντοπιστούν και να εκμεταλλευτούν, επιτρέπουν στους εισβολείς να κατακτήσουν τον έλεγχο του συστήματος, να κλέψουν ευαίσθητα δεδομένα ή να ακρωτηριάσουν εφαρμογές.
Οι προγραμματιστές, οι ομάδες ασφαλείας και τα στελέχη έχουν τώρα έναν οδικό χάρτη για να δώσουν προτεραιότητα στις διορθώσεις και να αναδιαμορφώσουν τους κύκλους ζωής ανάπτυξης λογισμικού (SDLC).
Η ετήσια κατάταξη, που βασίζεται σε δεδομένα CVE του πραγματικού κόσμου, γίνεται όλο και πιο σημαντική εν μέσω κλιμάκωσης των απειλών στον κυβερνοχώρο.
Τα ελαττώματα της ένεσης και η καταστροφή της μνήμης παραμένουν κυρίαρχα, αλλά οι αλλαγές αποκαλύπτουν εξελισσόμενους κινδύνους. Η δέσμη ενεργειών μεταξύ τοποθεσιών (CWE-79) παραμένει στην κορυφή παρά την ολίσθηση από το προβάδισμα του περασμένου έτους, με επτά γνωστά εκμεταλλευόμενα τρωτά σημεία (KEV).
Το OS Command Injection (CWE-78) παραμένει απειλή υψηλού αντίκτυπου, με 20 KEV.
Αυτή η λίστα οδηγεί σε δράση σε διάφορους τομείς:
Στους νεοφερμένους αρέσει Η κλασική υπερχείλιση buffer (CWE-120) και ο εσφαλμένος έλεγχος πρόσβασης (CWE-284) σηματοδοτούν κενά μνήμης και εξουσιοδότησης στις βάσεις κωδικών παλαιού τύπου.
| Τάξη | CWE ID & Όνομα | CVE στο KEV | Κατάταξη Πέρυσι |
|---|---|---|---|
| 1 | CWE-79: Διαδικτυακή δέσμη ενεργειών | 7 | 1 |
| 2 | CWE-89: SQL Injection | 4 | 3 (↑1) |
| 3 | CWE-352: CSRF | 0 | 4 (↑1) |
| 4 | CWE-862: Λείπει η εξουσιοδότηση | 0 | 9 (↑5) |
| 5 | CWE-787: Γράψτε εκτός ορίων | 12 | 2 (↓3) |
| 6 | CWE-22: Path Traversal | 10 | 5 (↓1) |
| 7 | CWE-416: Χρήση μετά τη δωρεάν | 14 | 8 (↑1) |
| 8 | CWE-125: Διαβάστηκε εκτός ορίων | 3 | 6 (↓2) |
| 9 | CWE-78: OS Command Injection | 20 | 7 (↓2) |
| 10 | CWE-94: Code Injection | 7 | 11 (↑1) |
| 11 | CWE-120: Κλασική υπερχείλιση buffer | 0 | N/A |
| 12 | CWE-434: Απεριόριστη μεταφόρτωση αρχείων | 4 | 10 (↓2) |
| 13 | CWE-476: NULL Παράθεση δείκτη | 0 | 21 (↑8) |
| 14 | CWE-121: Υπερχείλιση buffer που βασίζεται σε στοίβα | 4 | N/A |
| 15 | CWE-502: Deserialization των μη αξιόπιστων δεδομένων | 11 | 16 (↑1) |
| 16 | CWE-122: Υπερχείλιση buffer που βασίζεται σε σωρό | 6 | N/A |
| 17 | CWE-863: Λανθασμένη εξουσιοδότηση | 4 | 18 (↑1) |
| 18 | CWE-20: Λανθασμένη επικύρωση εισόδου | 2 | 12 (↓6) |
| 19 | CWE-284: Λανθασμένος έλεγχος πρόσβασης | 1 | N/A |
| 20 | CWE-200: Έκθεση ευαίσθητων πληροφοριών | 1 | 17 (↓3) |
| 21 | CWE-306: Λείπει ο έλεγχος ταυτότητας | 11 | 25 (↑4) |
| 22 | CWE-918: SSRF | 0 | 19 (↓3) |
| 23 | CWE-77: Έγχυση εντολών | 2 | 13 (↓10) |
| 24 | CWE-639: Παράκαμψη εξουσιοδότησης | 0 | 30 (↑6) |
| 25 | CWE-770: Κατανομή πόρων χωρίς όρια | 0 | 26 (↑1) |
Ζητήματα ασφάλειας της μνήμης (π.χ. υπερχείλιση buffer) συμβαίνουν συχνά, προκαλώντας την υιοθέτηση του Rust ή της ασφαλέστερης C++. Οι εφαρμογές Ιστού αντιμετωπίζουν προβλήματα έγχυσης και ελέγχου ταυτότητας, ενώ σοβαρά ελαττώματα του KEV, όπως η χρήση μετά τη δωρεάν, απαιτούν έλεγχο μηδενικής εμπιστοσύνης.
Οι οργανισμοί θα πρέπει να ελέγχουν τις βάσεις κωδικών σε σχέση με αυτήν τη λίστα, να ενσωματώνουν ελέγχους CWE στους αγωγούς CI/CD τους και να ασκούν πίεση στους προμηθευτές για διαφάνεια.
Οι εταιρείες ημιαγωγών στη Μαλαισία παρακολουθούν στενά τους κινδύνους που ενδέχεται να προκύψουν από πιθανές…
Όσο κι αν προσπαθούμε να το αρνηθούμε, η άσκηση είναι προφανώς πολύ, πολύ καλή για…
Η ευρωπαϊκή μάχη για την Τεχνητή Νοημοσύνη και την αγορά των ΑΙ chips περνά πλέον…
Μια ιδιαίτερα ενδιαφέρουσα έρευνα δημοσιεύθηκε στο περιοδικό Science και προκύπτει από μελέτη ερευνητών του Πανεπιστημίου…
Ο Διευθύνων Σύμβουλος της Xiaomi, Lei Jun, ανακοίνωσε ότι το ιδιόκτητο της εταιρείας 2200MPa Super…
Η IDEAL Software Solutions, θυγατρική της Byte, ανακοινώνει το λανσάρισμα της DocGen Platform. Πρόκειται για μια σύγχρονη λύση αυτοματοποιημένης δημιουργίας, διαχείρισης και διανομής επιχειρησιακών…
