行業新聞與博客

MITRE 公司發佈了一份新的清單，列出了 25 個最危險的軟件“漏洞”，這將有助於開發人員、網絡防禦人員和採購團隊瞭解相關信息。

今年的年度 CWE Top 25 榜單是根據 39,080 個 CVE 背後的弱點 (CWE) 編制而成的。

MITRE 聲稱：“揭示這些漏洞的根本原因，可以為投資、政策和實踐提供強有力的指導，從而從根本上防止這些漏洞的發生——這將使行業和政府利益相關者都受益。”

跨站腳本攻擊（XSS）再次位居榜首，SQL 注入攻擊上升一位至第二，跨站請求偽造攻擊上升一位至第三。釋放後使用攻擊（排名第八）和代碼注入攻擊（排名第十）均比去年上升一位。

在排名前 10 的漏洞中，越界寫入（第五名）、路徑遍歷（第六名）、越界讀取（第八名）和操作系統命令注入（第九名）的排名均較去年有所下降。

排名是根據每個弱點的嚴重程度和實際利用的頻率進行評分計算得出的。

今年新增了經典緩衝區溢出、基於棧的緩衝區溢出、基於堆的緩衝區溢出、不當訪問控制、通過用户控制的密鑰繞過授權以及無限制或節流的資源分配等條目。

然而，AppOmni 首席安全官 Cory Michal 認為，鑑於憑證處理不力的危險性，前 25 名中應該有“受保護不足的憑證”一席之地。

他解釋説：“當 Commvault 、 Salesloft/Drift 和 Gainsight 等主要 SaaS 集成提供商遭到入侵，攻擊者獲取了 OAuth2 令牌時，這些‘憑證’就成了進入數千個下游 SaaS 租户的萬能鑰匙。”

“我們看到攻擊者利用這些被盜的令牌訪問 CRM 和協作數據，而無需接觸用户的密碼，我預計這種模式，以及 CWE-522 在現實世界中的影響，將在 2026 年繼續增長。”

也就是説， 這份新清單凸顯了身份、授權和訪問控制問題現在已成為安全團隊關注的焦點。

“當身份驗證缺失、訪問控制不當和授權繞過等弱點全部進入前 25 名時，這表明攻擊者不斷成功地發現並利用身份驗證和授權邏輯中的漏洞，”米哈爾説。

“在當今的 SaaS 和 AI 世界中，應用程序通過 API 和集成相互連接，這些弱點很快就會演變成橫向移動、數據泄露和實際風險。”