news 2026/7/18 10:05:07

MITRE 发布 2025 年 Top 25 软件弱点榜单

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
MITRE 发布 2025 年 Top 25 软件弱点榜单

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

MITRE根据2024年6月至2025年6月期间披露的3.9万多个漏洞,发布了25个最危险的软件弱点。

该榜单与为CWE 计划提供资助的美国国土安全系统工程和开发研究所 (HSSEDI) 和网络安全和基础设施安全局 (CISA) 协同发布。

软件弱点可能是软件代码、实现、架构或设计中出现的缺陷、问题、漏洞或错误,可被攻击者滥用于攻陷运行易受攻击软件的系统。成功利用这些弱点可导致威胁人员获得对受陷设备的控制权限并触发拒绝服务攻击或访问敏感数据。

为创建该榜单,MITRE 分析了在2024年6月1日至2025年6月1日期间报送的39080个CVE漏洞,并根据严重性和频率对每个漏洞进行了评分。虽然跨站脚本 (CWE-79) 仍然雄踞榜首,但相比去年,排名次序有了很多变化,其中授权缺失 (CWE-862)、空指针解引用 (CWE-476)和关键功能认证缺失 (CWE-306) 是榜单中上升最快的弱点类型。

本榜单中最严重和最普遍的弱点是典型的缓冲溢出 (CWE-120)、基于栈的缓冲溢出 (CWE-121)、基于堆的缓冲溢出 (CWE-122)、访问控制不当 (CWE-284)、通过用户控制的密钥绕过授权 (CWE-639)和无限制或门槛的资源配置 (CWE-770)。

MITRE 表示,“这些弱点易于发现和利用,可发展为可利用的漏洞,导致敌对者完全接管系统、窃取数据或者阻止应用运行。” CISA 提到“该年度榜单发现了用于攻陷系统、窃取数据或破坏服务的最严重的弱点。CISA和MITRE建议组织机构查看该榜单并将其用于完善各自的软件安全策略。”

近年来,CISA 发布多份“设计即安全”警报提醒,告知即使存在多种缓解措施,广泛出现的漏洞仍然位于软件中。其中一些警报提醒是为了应对恶意攻击活动。本周,CISA 建议开发人员和产品团队查看2025年发布的25个最严重的CWE 漏洞榜单以识别关键弱点并采用设计即安全实践,同时要求安全团队将其集成到应用安全测试和漏洞管理流程中。

2025年4月,CISA 还宣布称,经过 MITRE 副总裁 Yosry Barsoum 提醒称CVE和CWE计划的资助即将到期后,美国政府为MITRE的资助延长了11个月,确保关键的CVE计划的可持续性。

开源卫士试用地址:https://oss.qianxin.com/#/login

代码卫士试用地址:https://sast.qianxin.com/#/login


推荐阅读

CISA为CVE计划续期11个月,MITRE 成立CVE基金会防范

MITRE Caldera所有版本皆存在满分RCE漏洞

MITRE 公布2024年最严重的25个软件弱点

MITRE 发布2023 CWE Top 25 榜单

原文链接

https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “在看” 或 "赞” 吧~

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/17 17:57:40

FaceFusion人脸识别算法详解:精准对齐与自然融合的关键技术

FaceFusion人脸识别算法详解:精准对齐与自然融合的关键技术 在数字内容创作日益普及的今天,人们不再满足于简单的滤镜或贴纸式美颜。从影视特效到虚拟主播,从社交娱乐到AI换脸短视频,用户对“以假乱真”的视觉体验提出了更高要求。…

作者头像 李华
网站建设 2026/7/17 12:05:31

LangChain + Linly-Talker 融合实践:构建可记忆对话的智能数字员工

LangChain Linly-Talker 融合实践:构建可记忆对话的智能数字员工 在客服中心,一位客户刚咨询完产品A的功能,第二天再次接入系统时问道:“昨天我问的那个优惠现在还有吗?”传统聊天机器人往往一脸茫然——它不记得“昨…

作者头像 李华
网站建设 2026/7/17 15:42:53

EmotiVoice在ESP32嵌入式设备上的可行性探索与性能优化建议

EmotiVoice在ESP32嵌入式设备上的可行性探索与性能优化建议 在智能玩具、陪伴机器人和交互式IoT设备日益追求“人格化”的今天,用户不再满足于机械单调的语音反馈。他们希望听到带有情绪起伏、具备个性音色的声音——就像一个真正的朋友在对话。这种需求推动了高表现…

作者头像 李华
网站建设 2026/7/17 18:31:56

如何将EmotiVoice集成进C#项目:.NET平台下的语音合成实现路径

如何将 EmotiVoice 集成进 C# 项目:.NET平台下的语音合成实现路径 在虚拟主播越来越“会哭会笑”的今天,你有没有想过,那些富有情绪起伏的声音背后,不再是冰冷的机械朗读,而是由 AI 精心雕琢的情感表达?当…

作者头像 李华
网站建设 2026/7/17 21:26:05

Kotaemon框架优势解析:模块化设计让智能问答系统更易维护

Kotaemon框架优势解析:模块化设计让智能问答系统更易维护 在企业级AI应用日益普及的今天,一个看似简单的问题背后往往隐藏着复杂的工程挑战——如何构建一个既能准确回答用户提问、又便于长期维护和持续迭代的智能问答系统?许多团队曾尝试基于…

作者头像 李华
网站建设 2026/7/17 7:37:15

如何快速掌握CSS Grid:CSS Grid Generator的完整使用指南

如何快速掌握CSS Grid:CSS Grid Generator的完整使用指南 【免费下载链接】cssgridgenerator 🧮 Generate basic CSS Grid code to make dynamic layouts! 项目地址: https://gitcode.com/gh_mirrors/cs/cssgridgenerator CSS Grid Generator是一…

作者头像 李华