MITRE 於近日發布 2025 年度最危險軟體弱點 Top 25 排行榜,根據 2024 年 6 月至 2025 年 6 月間揭露的 39,080 筆 CVE 記錄進行分析評分。跨站腳本攻擊(Cross-site Scripting,CWE-79)以 60.38 分的高分連續蟬聯榜首,同時有六項弱點首度進入排行榜,顯示軟體安全威脅態勢持續演變。
排名方法與資料來源
本次排行榜由 MITRE 與國土安全系統工程與發展研究所(HSSEDI)及美國網路安全暨基礎設施安全局(CISA)共同合作發布,三方共同管理與贊助通用弱點列舉(Common Weakness Enumeration,CWE)計畫。
MITRE 針對每項弱點依據其嚴重性(Severity)與出現頻率(Frequency)進行評分,分析範圍涵蓋 2024 年 6 月 1 日至 2025 年 6 月 1 日期間登錄的 39,080 筆 CVE 記錄。這些軟體弱點可能存在於程式碼、實作方式、系統架構或設計層面,一旦遭攻擊者利用,可能導致系統遭到完全控制、觸發阻斷服務攻擊或敏感資料外洩。
榜首 XSS 持續稱霸,SQL Injection 緊追在後
CWE-79 跨站腳本攻擊以 60.38 分穩居第一,較第二名的 SQL Injection(CWE-89,28.72 分)高出超過一倍。第三名為跨站請求偽造(Cross-Site Request Forgery,CWE-352),得分 13.64 分。
值得關注的是,
前十名中有多項弱點與 CISA 已知遭利用弱點(KEV)資料庫高度相關。OS 命令注入(CWE-78)雖排名第九,卻有高達 20 筆 KEV 記錄;Use After Free(CWE-416)排名第七,KEV 記錄達 14 筆;越界寫入(Out-of-bounds Write,CWE-787)排名第五,KEV 記錄為 12 筆。這些數據顯示攻擊者正積極針對這些弱點發動攻擊。
排名變動趨勢:授權驗證弱點大幅躍升
今年排行榜出現顯著變動。
Missing Authorization(CWE-862)從去年第九名躍升至第四名,上升五個名次;
NULL Pointer Dereference(CWE-476)上升八名至第十三名;
Missing Authentication for Critical Function(CWE-306)上升四名至第二十一名。
相對地,部分弱點排名明顯下滑。Command Injection(CWE-77)下降十名至第二十三名;Improper Input Validation(CWE-20)下降六名至第十八名;Out-of-bounds Write(CWE-787)則下降三名至第五名。
六大新進榜弱點:記憶體安全問題重新受關注
今年有六項弱點首度進入 Top 25 排行榜,其中三項屬於緩衝區溢位類型:
- Classic Buffer Overflow(CWE-120):第十一名,得分 6.96
- Stack-based Buffer Overflow(CWE-121):第十四名,得分 5.75,KEV 記錄 4 筆
- Heap-based Buffer Overflow(CWE-122):第十六名,得分 5.21,KEV 記錄 6 筆
另外三項新進榜弱點為:
- Improper Access Control(CWE-284):第十九名
- Authorization Bypass Through User-Controlled Key(CWE-639):第二十四名
- Allocation of Resources Without Limits or Throttling(CWE-770):第二十五名
CISA 呼籲落實 Secure by Design
MITRE 指出,這些弱點「通常容易被發現與利用,可能導致攻擊者完全控制系統、竊取資料或癱瘓應用程式服務」。CISA 則建議開發人員與產品團隊審視 2025 年 CWE Top 25,識別關鍵弱點並採納 Secure by Design 實務做法;資安團隊應將此排行榜整合至應用程式安全測試與弱點管理流程中。
近年來 CISA 已發布多項 Secure by Design 警示,針對軟體中持續存在的已知弱點提出警告。2024 年 7 月,CISA 曾發布警示,要求科技公司消除 OS 命令注入弱點,該弱點當時正被中國國家級駭客組織 Velvet Ant 利用,攻擊 Cisco、Palo Alto 及 Ivanti 網路邊緣設備。
此外,CISA 於 2025 年 4 月宣布美國政府已延長 MITRE 的 CVE 計畫經費 11 個月,確保這項關鍵弱點揭露機制的運作延續性。
本文轉載自bleepingcomputer。