مؤسسه MITRE فهرست سال ۲۰۲۵ از ۲۵ ضعف نرمافزاری خطرناک ( CWE Top 25 – 2025 ) را منتشر کرد؛ ضعفهایی که پشت پرده بیش از ۳۹,۰۰۰ آسیبپذیری امنیتی (CVE) ثبتشده بین ژوئن ۲۰۲۴ تا ژوئن ۲۰۲۵ قرار دارند.
این فهرست با همکاری CISA و HSSEDI تهیه شده و بخشی از برنامه Common Weakness Enumeration (CWE) است؛ برنامهای که ریشههای اصلی ناامنی در نرمافزارها را شناسایی و طبقهبندی میکند.
ضعفهای نرمافزاری میتوانند شامل:
نقص در کدنویسی
خطاهای طراحی یا معماری
پیادهسازی نادرست کنترلهای امنیتی
باشند؛ نقصهایی که مهاجمان با سوءاستفاده از آنها میتوانند:
کنترل کامل سیستم را به دست بگیرند
دادههای حساس را سرقت کنند
یا سرویسها را از دسترس خارج نمایند (DoS)
روش رتبهبندی MITRE در سال ۲۰۲۵
MITRE برای تهیه این رتبهبندی، ۳۹,۰۸۰ رکورد CVE گزارششده در بازه زمانی یکساله را تحلیل کرده و هر ضعف را بر اساس:
شدت تأثیر
میزان شیوع
سابقه سوءاستفاده فعال
امتیازدهی کرده است.
تغییرات مهم در فهرست CWE Top 25 – 2025
در حالی که Cross-Site Scripting (CWE-79) همچنان در صدر فهرست باقی مانده، اما تغییرات قابلتوجهی نسبت به سال قبل دیده میشود.
بیشترین جهش رتبه مربوط به این ضعفهاست:
Missing Authorization (CWE-862)
NULL Pointer Dereference (CWE-476)
Missing Authentication (CWE-306)
همچنین چند ضعف کلاسیک اما همچنان بسیار خطرناک، امسال برای اولینبار وارد Top 25 شدهاند؛ از جمله:
Buffer Overflow (Stack / Heap / Classic)
Improper Access Control
Authorization Bypass
Resource Exhaustion بدون محدودسازی
۲۵ ضعف نرمافزاری خطرناک سال ۲۰۲۵ (خلاصه تحلیلی)
در صدر این فهرست، ضعفهایی قرار دارند که هم کشف آنها ساده است و هم سوءاستفاده از آنها بسیار مخرب:
XSS
SQL Injection
CSRF
ضعف در احراز هویت و مجوزدهی
تزریق دستور سیستمعامل (OS Command Injection)
Use-After-Free
Out-of-Bounds Read/Write
MITRE در بیانیه خود اعلام کرده:
«این ضعفها اغلب بهسادگی قابل شناسایی و اکسپلویت هستند و میتوانند به تسلط کامل مهاجم بر سیستم منجر شوند.»
هشدار CISA: Secure by Design هنوز جدی گرفته نمیشود
CISA ضمن تأیید این فهرست تأکید کرده که:
بسیاری از این ضعفها سالهاست شناختهشدهاند
راهکارهای کاهش ریسک آنها وجود دارد
اما همچنان در محصولات جدید دیده میشوند
این سازمان از:
توسعهدهندگان خواسته اصول Secure by Design را جدی بگیرند
تیمهای امنیتی خواسته CWE Top 25 را در تست امنیت نرمافزار و مدیریت آسیبپذیریها ادغام کنند
| Rank | ID | Name | Score | KEV CVEs | Change |
|---|---|---|---|---|---|
| 1 | CWE-79 | Cross-site Scripting | 60.38 | 7 | 0 |
| 2 | CWE-89 | SQL Injection | 28.72 | 4 | +1 |
| 3 | CWE-352 | Cross-Site Request Forgery (CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | Missing Authorization | 13.28 | 0 | +5 |
| 5 | CWE-787 | Out-of-bounds Write | 12.68 | 12 | -3 |
| 6 | CWE-22 | Path Traversal | 8.99 | 10 | -1 |
| 7 | CWE-416 | Use After Free | 8.47 | 14 | +1 |
| 8 | CWE-125 | Out-of-bounds Read | 7.88 | 3 | -2 |
| 9 | CWE-78 | OS Command Injection | 7.85 | 20 | -2 |
| 10 | CWE-94 | Code Injection | 7.57 | 7 | +1 |
| 11 | CWE-120 | Classic Buffer Overflow | 6.96 | 0 | N/A |
| 12 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 6.87 | 4 | -2 |
| 13 | CWE-476 | NULL Pointer Dereference | 6.41 | 0 | +8 |
| 14 | CWE-121 | Stack-based Buffer Overflow | 5.75 | 4 | N/A |
| 15 | CWE-502 | Deserialization of Untrusted Data | 5.23 | 11 | +1 |
| 16 | CWE-122 | Heap-based Buffer Overflow | 5.21 | 6 | N/A |
| 17 | CWE-863 | Incorrect Authorization | 4.14 | 4 | +1 |
| 18 | CWE-20 | Improper Input Validation | 4.09 | 2 | -6 |
| 19 | CWE-284 | Improper Access Control | 4.07 | 1 | N/A |
| 20 | CWE-200 | Exposure of Sensitive Information | 4.01 | 1 | -3 |
| 21 | CWE-306 | Missing Authentication for Critical Function | 3.47 | 11 | +4 |
| 22 | CWE-918 | Server-Side Request Forgery (SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | Command Injection | 3.15 | 2 | -10 |
| 24 | CWE-639 | Authorization Bypass via User-Controlled Key | 2.62 | 0 | +6 |
| 25 | CWE-770 | Allocation of Resources w/o Limits or Throttling | 2.54 | 0 | +1 |
امنیت نرمافزار بدون شناخت CWE ممکن نیست
در نهایت، پیام این گزارش روشن است:
اگر ریشه ضعفهای نرمافزاری را نشناسید، پچ کردن CVEها هیچوقت شما را امن نمیکند.
