行業新聞與部落格

MITRE 公司釋出了一份新的清單，列出了 25 個最危險的軟體“漏洞”，這將有助於開發人員、網路防禦人員和採購團隊瞭解相關資訊。

今年的年度 CWE Top 25 榜單是根據 39,080 個 CVE 背後的弱點 (CWE) 編制而成的。

MITRE 聲稱：“揭示這些漏洞的根本原因，可以為投資、政策和實踐提供強有力的指導，從而從根本上防止這些漏洞的發生——這將使行業和政府利益相關者都受益。”

跨站指令碼攻擊（XSS）再次位居榜首，SQL 注入攻擊上升一位至第二，跨站請求偽造攻擊上升一位至第三。釋放後使用攻擊（排名第八）和程式碼注入攻擊（排名第十）均比去年上升一位。

在排名前 10 的漏洞中，越界寫入（第五名）、路徑遍歷（第六名）、越界讀取（第八名）和作業系統命令注入（第九名）的排名均較去年有所下降。

排名是根據每個弱點的嚴重程度和實際利用的頻率進行評分計算得出的。

今年新增了經典緩衝區溢位、基於棧的緩衝區溢位、基於堆的緩衝區溢位、不當訪問控制、透過使用者控制的金鑰繞過授權以及無限制或節流的資源分配等條目。

然而，AppOmni 首席安全官 Cory Michal 認為，鑑於憑證處理不力的危險性，前 25 名中應該有“受保護不足的憑證”一席之地。

他解釋說：“當 Commvault 、 Salesloft/Drift 和 Gainsight 等主要 SaaS 整合提供商遭到入侵，攻擊者獲取了 OAuth2 令牌時，這些‘憑證’就成了進入數千個下游 SaaS 租戶的萬能鑰匙。”

“我們看到攻擊者利用這些被盜的令牌訪問 CRM 和協作資料，而無需接觸使用者的密碼，我預計這種模式，以及 CWE-522 在現實世界中的影響，將在 2026 年繼續增長。”

也就是說， 這份新清單凸顯了身份、授權和訪問控制問題現在已成為安全團隊關注的焦點。

“當身份驗證缺失、訪問控制不當和授權繞過等弱點全部進入前 25 名時，這表明攻擊者不斷成功地發現並利用身份驗證和授權邏輯中的漏洞，”米哈爾說。

“在當今的 SaaS 和 AI 世界中，應用程式透過 API 和整合相互連線，這些弱點很快就會演變成橫向移動、資料洩露和實際風險。”