2025年最危险的25个软件漏洞:MITRE发布最新榜单,内存安全问题“回潮”
近日,MITRE公司联合美国国土安全系统工程与开发研究所(HSSEDI)及网络安全与基础设施安全局(CISA),正式发布了2025年“最危险的25种软件漏洞”(CWE Top 25)榜单。该榜单基于2024年6月至2025年6月期间披露的超过3.9万个安全漏洞(CVE)数据分析得出。今年的榜单显示,尽管跨站脚本(XSS)依然占据榜首,但授权缺失(Missing Authorization)和空指针解引用(Null Pointer Dereference)等漏洞排名大幅上升。更为严峻的是,曾一度被认为通过现代编程语言可有效遏制的传统缓冲区溢出(Buffer Overflow)类漏洞在今年大举回归,占据了新上榜漏洞的半壁江山。
一、 核心趋势:旧患未除,新忧又起
MITRE通过分析过去一年中39,080条CVE记录,根据漏洞的严重程度和出现频率对各类软件弱点进行了加权评分。今年的榜单揭示了软件供应链安全面临的双重挑战:Web应用层面的逻辑漏洞依然泛滥,而底层系统的内存安全问题正在“回潮”。
1. “三巨头”格局微调
- 跨站脚本(XSS, CWE-79):以60.38的高分继续稳居榜首。尽管业界已有成熟的防护方案,但其在Web应用中的普遍性使其难以根除。
- SQL注入(SQL Injection, CWE-89):排名升至第2位。
- 跨站请求伪造(CSRF, CWE-352):上升至第3位。
2. 排名飙升的隐患
今年榜单中变化最显著的弱点包括:
- 授权缺失(CWE-862):排名激增5位,升至第4。这反映出随着微服务和API经济的发展,开发者在复杂的权限验证逻辑上频频失守。
- 空指针解引用(CWE-476):大幅上升8位,位列第13。
- 关键功能缺失认证(CWE-306):上升4位,排名第21。
3. 内存安全危机的“回潮”
最令人担忧的趋势是缓冲区溢出类漏洞的集体反扑。今年新上榜的6个弱点中,有3个直接与缓冲区溢出相关:
- CWE-120:经典缓冲区溢出(Classic Buffer Overflow) – 排名第11(新上榜)
- CWE-121:基于栈的缓冲区溢出(Stack-based Buffer Overflow) – 排名第14(新上榜)
- CWE-122:基于堆的缓冲区溢出(Heap-based Buffer Overflow) – 排名第16(新上榜)
这一现象表明,尽管Rust、Go等内存安全语言正在推广,但在大量遗留系统(Legacy Systems)、嵌入式设备及网络边缘设备中,C/C++代码中的内存管理缺陷依然是攻击者突破防线的首选路径。
二、 2025 CWE Top 25 完整榜单(前10名及关键变化)
| 序号 | ID | 姓名 | 分数 | KEV CVE | 排名变动 |
|---|---|---|---|---|---|
| 1 | CWE-79 | 跨站脚本攻击 | 60.38 | 7 | 0 |
| 2 | CWE-89 | SQL注入 | 28.72 | 4 | +1 |
| 3 | CWE-352 | 跨站请求伪造 (CSRF) | 13.64 | 0 | +1 |
| 4 | CWE-862 | 缺少授权 | 13.28 | 0 | +5 |
| 5 | CWE-787 | 越界写入 | 12.68 | 12 | -3 |
| 6 | CWE-22 | 路径遍历 | 8.99 | 10 | -1 |
| 7 | CWE-416 | 免费使用后 | 8.47 | 14 | +1 |
| 8 | CWE-125 | 越界读取 | 7.88 | 3 | -2 |
| 9 | CWE-78 | 操作系统命令注入 | 7.85 | 20 | -2 |
| 10 | CWE-94 | 代码注入 | 7.57 | 7 | +1 |
| 11 | CWE-120 | 经典缓冲区溢出 | 6.96 | 0 | 不适用 |
| 12 | CWE-434 | 无限制上传危险类型文件 | 6.87 | 4 | -2 |
| 13 | CWE-476 | 空指针解引用 | 6.41 | 0 | +8 |
| 14 | CWE-121 | 基于栈的缓冲区溢出 | 5.75 | 4 | 不适用 |
| 15 | CWE-502 | 不受信任数据的反序列化 | 5.23 | 11 | +1 |
| 16 | CWE-122 | 基于堆的缓冲区溢出 | 5.21 | 6 | 不适用 |
| 17 | CWE-863 | 授权错误 | 4.14 | 4 | +1 |
| 18 | CWE-20 | 输入验证不当 | 4.09 | 2 | -6 |
| 19 | CWE-284 | 访问控制不当 | 4.07 | 1 | 不适用 |
| 20 | CWE-200 | 敏感信息泄露 | 4.01 | 1 | -3 |
| 21 | CWE-306 | 关键功能缺少身份验证 | 3.47 | 11 | +4 |
| 22 | CWE-918 | 服务器端请求伪造 (SSRF) | 3.36 | 0 | -3 |
| 23 | CWE-77 | 命令注入 | 3.15 | 2 | -10 |
| 24 | CWE-639 | 通过用户控制密钥绕过授权 | 2.62 | 0 | +6 |
| 25 | CWE-770 | 资源分配不受限制或节流 | 2.54 | 0 | +1 |
三、 监管视角与实战案例
CISA:“设计安全”(Secure by Design)刻不容缓
美国网络安全与基础设施安全局(CISA)强调,Top 25榜单不仅仅是一个统计数据,更是攻击者常用的“武器库”。CISA在过去一年中多次发布“设计安全”警报,指出许多漏洞之所以长期存在,是因为软件开发阶段缺乏根本性的安全考量。
实战警示:“Velvet Ant”与边缘设备
榜单的发布并非孤立事件。CISA特别提及了2024年7月的一份警报,该警报针对的是操作系统命令注入(OS Command Injection, CWE-78,本期排名第9)。
在该案例中,被称为“Velvet Ant”的威胁组织(据信具有国家背景)利用思科(Cisco)、Palo Alto Networks和Ivanti等厂商的网络边缘设备中的命令注入漏洞,对目标发起了持续性攻击。攻击者利用这些易于利用的低级错误,成功在受害网络中站稳脚跟。这一案例生动诠释了为何像CWE-78这样的“老旧”漏洞依然能造成毁灭性后果。
政策保障:CVE项目资金延续
此外,为确保这一全球漏洞生态系统的持续运作,CISA于2025年4月宣布将MITRE的运营资金延长11个月。此前,MITRE副总裁Yosry Barsoum曾警告CVE和CWE项目的政府资金即将到期,这一续期举措暂时缓解了业界对漏洞披露基础设施停摆的担忧。
四、 安全建议与行动指南
面对2025年的威胁态势,安全团队与开发人员应采取以下措施:
- 聚焦内存安全:针对新上榜的缓冲区溢出类弱点,建议在可能的情况下将关键模块迁移至内存安全语言(如Rust),或在CI/CD流程中强制集成内存错误检测工具(如ASan)。
- 强化身份验证与授权:鉴于CWE-862(授权缺失)和CWE-306(认证缺失)的排名飙升,必须对所有API端点实施严格的访问控制审查,切勿信任客户端提供的身份凭证或ID。
- 整合Top 25至测试流程:企业安全团队应将本年度Top 25列表导入SAST/DAST工具的规则集,优先修复检出的此类高危漏洞。
- 供应链审查:对于使用的第三方组件,重点审查其是否包含列表中的高频漏洞,特别是针对网络边缘设备(VPN、防火墙)的固件更新。
第一时间获取面向IT决策者的独家深度资讯,敬请关注IT经理网微信号:ctociocom
除非注明,本站文章均为原创或编译,未经许可严禁转载。
相关文章:
关于作者GoUpSec
升华安全佳,安全看世界。GoUpSec以国际化视野服务于网络安全决策者人群,致力于成为国际一流的调研、分析、媒体、智库机构。
