近日,MITRE公司联合美国国土安全系统工程与开发研究所(HSSEDI)及网络安全与基础设施安全局(CISA),正式发布了2025年“最危险的25种软件漏洞”(CWE Top 25)榜单。该榜单基于2024年6月至2025年6月期间披露的超过3.9万个安全漏洞(CVE)数据分析得出。
今年的榜单显示,尽管跨站脚本(XSS)依然占据榜首,但授权缺失(Missing Authorization)和空指针解引用(Null Pointer Dereference)等漏洞排名大幅上升。更为严峻的是,曾一度被认为通过现代编程语言可有效遏制的传统缓冲区溢出(Buffer Overflow)类漏洞在今年大举回归,占据了新上榜漏洞的半壁江山。
一、 核心趋势:旧患未除,新忧又起
MITRE通过分析过去一年中39,080条CVE记录,根据漏洞的严重程度和出现频率对各类软件弱点进行了加权评分。今年的榜单揭示了软件供应链安全面临的双重挑战:Web应用层面的逻辑漏洞依然泛滥,而底层系统的内存安全问题正在“回潮”。
1. “三巨头”格局微调
跨站脚本(XSS, CWE-79):以60.38的高分继续稳居榜首。尽管业界已有成熟的防护方案,但其在Web应用中的普遍性使其难以根除。
SQL注入(SQL Injection, CWE-89):排名升至第2位。
跨站请求伪造(CSRF, CWE-352):上升至第3位。
2. 排名飙升的隐患
今年榜单中变化最显著的弱点包括:
授权缺失(CWE-862):排名激增5位,升至第4。这反映出随着微服务和API经济的发展,开发者在复杂的权限验证逻辑上频频失守。
空指针解引用(CWE-476):大幅上升8位,位列第13。
关键功能缺失认证(CWE-306):上升4位,排名第21。
3. 内存安全危机的“回潮”
最令人担忧的趋势是缓冲区溢出类漏洞的集体反扑。今年新上榜的6个弱点中,有3个直接与缓冲区溢出相关:
CWE-120:经典缓冲区溢出(Classic Buffer Overflow) – 排名第11(新上榜)
CWE-121:基于栈的缓冲区溢出(Stack-based Buffer Overflow) – 排名第14(新上榜)
CWE-122:基于堆的缓冲区溢出(Heap-based Buffer Overflow) – 排名第16(新上榜)
这一现象表明,尽管Rust、Go等内存安全语言正在推广,但在大量遗留系统(Legacy Systems)、嵌入式设备及网络边缘设备中,C/C++代码中的内存管理缺陷依然是攻击者突破防线的首选路径。
二、2025 CWE Top25完整榜单(前10名及关键变化)
三、 监管视角与实战案例
CISA:“设计安全”刻不容缓
美国网络安全与基础设施安全局(CISA)强调,Top 25榜单不仅仅是一个统计数据,更是攻击者常用的“武器库”。CISA在过去一年中多次发布“设计安全”警报,指出许多漏洞之所以长期存在,是因为软件开发阶段缺乏根本性的安全考量。
实战警示:“Velvet Ant”与边缘设备
榜单的发布并非孤立事件。CISA特别提及了2024年7月的一份警报,该警报针对的是操作系统命令注入(OS Command Injection, CWE-78,本期排名第9)。
在该案例中,被称为“Velvet Ant”的威胁组织(据信具有国家背景)利用思科(Cisco)、Palo Alto Networks和Ivanti等厂商的网络边缘设备中的命令注入漏洞,对目标发起了持续性攻击。攻击者利用这些易于利用的低级错误,成功在受害网络中站稳脚跟。这一案例生动诠释了为何像CWE-78这样的“老旧”漏洞依然能造成毁灭性后果。
政策保障:CVE项目资金延续
此外,为确保这一全球漏洞生态系统的持续运作,CISA于2025年4月宣布将MITRE的运营资金延长11个月。此前,MITRE副总裁Yosry Barsoum曾警告CVE和CWE项目的政府资金即将到期,这一续期举措暂时缓解了业界对漏洞披露基础设施停摆的担忧。
四、 安全建议与行动指南
面对2025年的威胁态势,安全团队与开发人员应采取以下措施:
聚焦内存安全:针对新上榜的缓冲区溢出类弱点,建议在可能的情况下将关键模块迁移至内存安全语言(如Rust),或在CI/CD流程中强制集成内存错误检测工具(如ASan)。
强化身份验证与授权:鉴于CWE-862(授权缺失)和CWE-306(认证缺失)的排名飙升,必须对所有API端点实施严格的访问控制审查,切勿信任客户端提供的身份凭证或ID。
整合Top 25至测试流程:企业安全团队应将本年度Top 25列表导入SAST/DAST工具的规则集,优先修复检出的此类高危漏洞。
供应链审查:对于使用的第三方组件,重点审查其是否包含列表中的高频漏洞,特别是针对网络边缘设备(VPN、防火墙)的固件更新。
参考链接:https://cwe.mitre.org/top25/archive/2025/2025_methodology.html
本文转自:GoUpSec,转载此文目的在于传递更多信息,版权归原作者所有。如不支持转载,请联系小编demi@eetrend.com删除。
