文章总结： MITRE发布2025年最危险的25个软件漏洞列表，XSS继续位居榜首，SQL注入和CSRF分列二三位。今年榜单有6个新成员，包括多种缓冲区溢出漏洞。CISA建议软件制造商在产品开发中纳入安全设计实践，安全团队应将该列表纳入漏洞管理和应用程序安全测试中。 综合评分： 89 文章分类： 漏洞分析,漏洞预警,应用安全,WEB安全,安全建设

MITRE发布2025年最危险的25个软件漏洞列表

何威风

安小圈

2025年12月16日 08:45 上海

安小圈

第814期

XSS仍然是软件安全漏洞中的首要漏洞，其次是SQL注入和CSRF。缓冲区溢出和访问控制不当也跻身前25名。

MITRE 公司发布了更新后的“常见弱点枚举 (CWE) 前 25 个最危险软件弱点”列表，以反映威胁形势的最新变化。

跨站脚本攻击 (XSS) 漏洞仍然位居榜首，其次是 SQL 注入和跨站请求伪造 (CSRF)，这两个漏洞的排名都比去年上升了一位。

缺少授权规则在2025年CWE前25名榜单中排名第四，上升了五位。出界写入规则排名第五，下降了两位。

前 10 名漏洞还包括路径遍历漏洞、释放后使用漏洞、越界读取漏洞、操作系统命令注入漏洞和代码注入漏洞。

今年前 25 名中有 6 个新成员，其中包括 4 个在前几届榜单中未上榜的 CWE。

其中包括三个缓冲区溢出弱点（经典缓冲区溢出，编号 11；基于栈的缓冲区溢出，编号 14；基于堆的缓冲区溢出，编号 16）、访问控制不当，编号 19；通过用户控制的密钥绕过授权，编号 24；以及资源分配不受限制或节流，编号 25。

不当的权限管理、整数溢出或回绕、不当的身份验证、不受控制的资源消耗、使用硬编码凭据以及在内存缓冲区范围内操作限制不当等问题已从 CWE Top 25 列表中移除。

这些变化受到之前前25名榜单计算方式的影响，并大幅减少了映射关系。MITRE已在其方法论页面上公布了2025年榜单的详细编制方法。

根据美国网络安全机构 CISA 的说法，2025 年 CWE Top 25 旨在支持减少漏洞、提高成本效益、改善客户和利益相关者的信任以及提高客户意识。

CISA建议软件制造商审查该列表，并在产品开发中纳入“安全设计”实践；同时建议安全团队将该列表纳入漏洞管理和应用程序安全测试中。

除了“安全设计”指南外，还应将前 25 名榜单用于评估供应商，以确保对安全产品进行投资。

END

【以上内容来源自：豫说网数安】

**聊一聊网络安全公司的内部争斗

• 国家出手！网络安全产业低价中标乱象能否终结？

• 网络安全行业还会好起来吗?**

*** *《网络安全法》完成修改，自2026年1月1日起施行*

• 网络安全法修改了哪些内容？（附详细对照表）

• 全球三大网络安全巨头同时被黑

• 网安：亏损 TOP 10

• 中国联通DNS故障敲响警钟：DNS安全刻不容缓

• 全球超120万个医疗系统公网暴露：患者数据或遭窃取 中国亦受影响

• 个人信息保护负责人信息报送系统填报说明（第一版）全文

• 高度警惕：不明黑客组织攻击中国国防、能源、航空、医疗、网安等重点行业

• 攻防演练在即：如何开展网络安全应急响应

• 【攻防演练】中钓鱼全流程梳理

• [一文详解]网络安全【攻防演练】中的防御规划与实施

• 攻防必备 | 10款国产“两高一弱”专项解决方案

• 【干货】2024 攻防演练 · 期间 | 需关注的高危漏洞清单

• 攻防演练在即，10个物理安全问题不容忽视

• 红队视角！2024 | 国家级攻防演练100+必修高危漏洞合集(可下载)

• 【攻防演练】中钓鱼全流程梳理

• 攻防演练在即：如何开展网络安全应急响应

• 【零信任】落地的理想应用场景：攻防演练

• 网安同行们，你们焦虑了吗？

• # 网安公司最后那点体面，还剩下多少？

• 突发！数万台 Windows 蓝屏。。。。广联达。。。惹的祸。。。

• # 权威解答 | 国家网信办就：【数据出境】安全管理相关问题进行答复

• # 全国首位！上海通过数据出境安全评估91个，合同备案443个

• # 沈传宁：落实《网络数据安全管理条例》，提升全员数据安全意识

• 频繁跳槽，只为投毒

• 【2025】常见的网络安全服务大全（汇总详解）

• AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿)，附下载

**

查看原文：《MITRE发布2025年最危险的25个软件漏洞列表》