Компания MITRE представила обновлённый перечень из 25 наиболее опасных уязвимостей программного обеспечения, актуальных по итогам 2025 года. В рамках подготовки списка специалисты зафиксировали более 39 тыс. проблем кибербезопасности, выявленных в период с июня 2024 года по июнь 2025 года. Публикация отражает текущее состояние угроз и демонстрирует, какие слабые места в программных продуктах чаще всего используются злоумышленниками.
Работа над рейтингом велась совместно с Институтом системной инженерии и развития национальной безопасности HSSEDI, а также с Агентством по кибербезопасности и защите инфраструктуры США CISA. Эти организации участвуют в сопровождении и развитии программы классификации общих уязвимостей CWE, которая применяется для систематизации и анализа проблем в программном коде и архитектуре цифровых решений.
В MITRE поясняют, что уязвимости программного обеспечения представляют собой ошибки и недочёты, возникающие на уровне кода, реализации, архитектурных решений либо проектирования. При их наличии злоумышленники получают возможность атаковать системы, использующие уязвимое ПО.
Для формирования рейтинга аналитики MITRE провели оценку каждой уязвимости по двум основным параметрам. Учитывались уровень серьёзности последствий и частота обнаружения. В основу анализа легли 39 080 записей CVE, зарегистрированных в период с 1 июня 2024 года по 1 июня 2025 года.
Как и в предыдущие годы, первое место в списке заняла уязвимость межсайтового скриптинга CWE 79. При этом сам рейтинг претерпел заметные изменения. В сравнении с прошлогодней версией значительно поднялись такие категории, как отсутствие авторизации CWE 862, разыменование нулевого указателя CWE 476 и отсутствие аутентификации CWE 306.
В перечень наиболее серьёзных и распространённых проблем 2025 года также вошли переполнение буфера, некорректный контроль доступа, обход авторизации и выделение ресурсов без ограничений. В MITRE заявили, что многие из перечисленных проблем сравнительно легко выявляются и используются на практике. По оценке специалистов компании, подобные уязвимости нередко приводят к сценариям, при которых злоумышленники получают полный контроль над системой, осуществляют кражу данных либо нарушают работу приложений и сервисов.