文章总结： MITRE发布了2025年CWE25大最危险软件弱点清单，基于39080个CVE分析得出。跨站脚本(XSS)居首，SQL注入和跨站请求伪造分列二三位。新增了经典缓冲区溢出等条目，但专家认为保护不足的凭证本应上榜。报告强调身份授权和访问控制问题已成为安全团队核心关注点，为开发者和防御者提供了漏洞预防的重要指导。 综合评分： 86 文章分类： 漏洞分析,WEB安全,应用安全,安全建设,漏洞预警

行业资讯：MITRE 发布 2025年 CWE 25大最危险软件弱点

Phil Muncaster

君说安全

2025年12月16日 15:00 贵州

分享网络安全知识，提升网络安全认知！

让你看到达摩克利斯之剑的另一面！

“ 2025年 CWE 25大最危险软件弱点揭晓”

备注：图片来源于网络

大家好，我是Jun哥。

MITRE的全称是”MITRE Corporation”，中文翻译为”麻省理工学院计划与战术系统实验室”。

MITRE是一个非营利性的独立研究组织，成立于1958年，总部位于美国马萨诸塞州的贝德福德市。

MITRE 发布了过去两年影响软件的前 25 个最危险的软件弱点，攻击者可以利用这些缺陷来控制易受攻击的系统、窃取数据或破坏某些程序的运行，由于这些缺陷的存在，软件变得非常脆弱。

以下信息来自 Infosecurity-magazine  作者：Phil Muncaster

MITRE公司发布了一份新清单，列出了25个最危险的软件“弱点”，这或将帮助开发者、网络防御者和采购团队提供信息。

今年的年度CWE前25名榜单由39,080个CVE背后的弱点（CWE）汇总而成。

MITRE声称：“揭示这些漏洞的根本原因，是投资、政策和实践防止漏洞发生的有力指导——这对行业和政府利益相关者都有益。”

跨站脚本（XSS）再次位居榜首，SQL注入上升一位升至第二，跨站请求伪造上升一位升至第三。免费后使用（第八名）和代码注入（第十名）均较去年上升一位。

在前十名中，越界写入（第五）、路径穿越（第六）、越界读（第八）和作系统命令注入（第九）均较去年排名下滑。

备注：来自MITRE

以上排名是根据每个弱点的严重程度和实际漏洞的频率来得分的。

今年新增了经典缓冲区溢出、基于栈的缓冲区溢出、基于堆的缓冲区溢出、不当访问控制、通过用户控制密钥的授权绕过以及无限制或限速资源分配等条目。

然而，AppOmni首席安全官Cory Michal认为，鉴于凭证处理的危险性，“保护不足的凭证”本应进入前25名。

他解释道：“当像Commvault、Salesloft/Drift和Gainsight这样的主要SaaS集成提供商被攻破，攻击者带走OAuth2令牌时，这些’凭证’就成为了数千个下游SaaS租户的骨架钥匙。”

“我们看到对手利用这些被盗令牌访问CRM和协作数据，而用户密码从未触及，我预计这种模式，因此CWE-522在2026年的影响将持续增长。”

话虽如此，这份新名单强调：身份、授权和访问控制问题如今已成为安全团队的核心问题。

米哈尔说：“当诸如错过认证、不当的访问控制和授权绕过等弱点都进入或进入前25名时，这表明攻击者持续成功地发现并利用认证和授权逻辑中的漏洞。”

全文完，喜欢请三连，这对我很重要！

-End-

免责声明：本文相关素材均来自互联网，仅为传递信息之用。如有侵权，请联系作者删除。****

★点赞，转发，设为星标★

与你一起分享网络安全职场故事

查看原文：《行业资讯：MITRE 发布 2025年 CWE 25大最危险软件弱点》