文章总结： MITRE联合CISA发布的2025年CWETop25榜单显示，跨站脚本继续位居榜首，而授权缺失和缓冲区溢出类漏洞排名大幅上升。缓冲区溢出类漏洞的回归表明内存安全问题在遗留系统和边缘设备中依然严重。安全团队应聚焦内存安全、强化身份验证与授权、整合Top25至测试流程，并对第三方组件进行供应链审查。 综合评分： 90 文章分类： 漏洞分析,漏洞预警,安全建设,网络安全,应用安全

2025年最危险的25个软件漏洞

GoUpSec

2025年12月16日 14:57 吉林

近日，MITRE公司联合美国国土安全系统工程与开发研究所（HSSEDI）及网络安全与基础设施安全局（CISA），正式发布了2025年“最危险的25种软件漏洞”（CWE Top 25）榜单。该榜单基于2024年6月至2025年6月期间披露的超过3.9万个安全漏洞（CVE）数据分析得出。

今年的榜单显示，尽管跨站脚本（XSS）依然占据榜首，但授权缺失（Missing Authorization）和空指针解引用（Null Pointer Dereference）等漏洞排名大幅上升。更为严峻的是，曾一度被认为通过现代编程语言可有效遏制的传统缓冲区溢出（Buffer Overflow）类漏洞在今年大举回归，占据了新上榜漏洞的半壁江山。

一、 核心趋势：旧患未除，新忧又起

MITRE通过分析过去一年中39,080条CVE记录，根据漏洞的严重程度和出现频率对各类软件弱点进行了加权评分。今年的榜单揭示了软件供应链安全面临的双重挑战：Web应用层面的逻辑漏洞依然泛滥，而底层系统的内存安全问题正在“回潮”。

1. “三巨头”格局微调

• 跨站脚本（XSS, CWE-79）：以60.38的高分继续稳居榜首。尽管业界已有成熟的防护方案，但其在Web应用中的普遍性使其难以根除。
• SQL注入（SQL Injection, CWE-89）：排名升至第2位。
• 跨站请求伪造（CSRF, CWE-352）：上升至第3位。

1. 排名飙升的隐患

今年榜单中变化最显著的弱点包括：

• 授权缺失（CWE-862）：排名激增5位，升至第4。这反映出随着微服务和API经济的发展，开发者在复杂的权限验证逻辑上频频失守。
• 空指针解引用（CWE-476）：大幅上升8位，位列第13。
• 关键功能缺失认证（CWE-306）：上升4位，排名第21。

1. 内存安全危机的“回潮”

最令人担忧的趋势是缓冲区溢出类漏洞的集体反扑。今年新上榜的6个弱点中，有3个直接与缓冲区溢出相关：

• CWE-120：经典缓冲区溢出（Classic Buffer Overflow） – 排名第11（新上榜）
• CWE-121：基于栈的缓冲区溢出（Stack-based Buffer Overflow） – 排名第14（新上榜）
• CWE-122：基于堆的缓冲区溢出（Heap-based Buffer Overflow） – 排名第16（新上榜）

这一现象表明，尽管Rust、Go等内存安全语言正在推广，但在大量遗留系统（Legacy Systems）、嵌入式设备及网络边缘设备中，C/C++代码中的内存管理缺陷依然是攻击者突破防线的首选路径。

二、2025 CWE Top25完整榜单（前10名及关键变化）

三、 监管视角与实战案例

• CISA：“设计安全”刻不容缓

美国网络安全与基础设施安全局（CISA）强调，Top 25榜单不仅仅是一个统计数据，更是攻击者常用的“武器库”。CISA在过去一年中多次发布“设计安全”警报，指出许多漏洞之所以长期存在，是因为软件开发阶段缺乏根本性的安全考量。

• 实战警示：“Velvet Ant”与边缘设备

榜单的发布并非孤立事件。CISA特别提及了2024年7月的一份警报，该警报针对的是操作系统命令注入（OS Command Injection, CWE-78，本期排名第9）。

在该案例中，被称为“Velvet Ant”的威胁组织（据信具有国家背景）利用思科（Cisco）、Palo Alto Networks和Ivanti等厂商的网络边缘设备中的命令注入漏洞，对目标发起了持续性攻击。攻击者利用这些易于利用的低级错误，成功在受害网络中站稳脚跟。这一案例生动诠释了为何像CWE-78这样的“老旧”漏洞依然能造成毁灭性后果。

• 政策保障：CVE项目资金延续

此外，为确保这一全球漏洞生态系统的持续运作，CISA于2025年4月宣布将MITRE的运营资金延长11个月。此前，MITRE副总裁Yosry Barsoum曾警告CVE和CWE项目的政府资金即将到期，这一续期举措暂时缓解了业界对漏洞披露基础设施停摆的担忧。

四、 安全建议与行动指南

面对2025年的威胁态势，安全团队与开发人员应采取以下措施：

• 聚焦内存安全：针对新上榜的缓冲区溢出类弱点，建议在可能的情况下将关键模块迁移至内存安全语言（如Rust），或在CI/CD流程中强制集成内存错误检测工具（如ASan）。
• 强化身份验证与授权：鉴于CWE-862（授权缺失）和CWE-306（认证缺失）的排名飙升，必须对所有API端点实施严格的访问控制审查，切勿信任客户端提供的身份凭证或ID。
• 整合Top 25至测试流程：企业安全团队应将本年度Top 25列表导入SAST/DAST工具的规则集，优先修复检出的此类高危漏洞。
• 供应链审查：对于使用的第三方组件，重点审查其是否包含列表中的高频漏洞，特别是针对网络边缘设备（VPN、防火墙）的固件更新。

参考链接；

https://cwe.mitre.org/top25/archive/2025/2025_methodology.html

^

相 关 阅 读

英伟达发布AI智能体安全评估框架

豆包手机不冤，Gartner号召网络安全行业封杀AI浏览器

美国科技巨头联手制定AI智能体三大关键技术标准

查看原文：《2025年最危险的25个软件漏洞》