行业新闻与博客

MITRE 公司发布了一份新的清单，列出了 25 个最危险的软件“漏洞”，这将有助于开发人员、网络防御人员和采购团队了解相关信息。

今年的年度 CWE Top 25 榜单是根据 39,080 个 CVE 背后的弱点 (CWE) 编制而成的。

MITRE 声称：“揭示这些漏洞的根本原因，可以为投资、政策和实践提供强有力的指导，从而从根本上防止这些漏洞的发生——这将使行业和政府利益相关者都受益。”

跨站脚本攻击（XSS）再次位居榜首，SQL 注入攻击上升一位至第二，跨站请求伪造攻击上升一位至第三。释放后使用攻击（排名第八）和代码注入攻击（排名第十）均比去年上升一位。

在排名前 10 的漏洞中，越界写入（第五名）、路径遍历（第六名）、越界读取（第八名）和操作系统命令注入（第九名）的排名均较去年有所下降。

排名是根据每个弱点的严重程度和实际利用的频率进行评分计算得出的。

今年新增了经典缓冲区溢出、基于栈的缓冲区溢出、基于堆的缓冲区溢出、不当访问控制、通过用户控制的密钥绕过授权以及无限制或节流的资源分配等条目。

然而，AppOmni 首席安全官 Cory Michal 认为，鉴于凭证处理不力的危险性，前 25 名中应该有“受保护不足的凭证”一席之地。

他解释说：“当 Commvault 、 Salesloft/Drift 和 Gainsight 等主要 SaaS 集成提供商遭到入侵，攻击者获取了 OAuth2 令牌时，这些‘凭证’就成了进入数千个下游 SaaS 租户的万能钥匙。”

“我们看到攻击者利用这些被盗的令牌访问 CRM 和协作数据，而无需接触用户的密码，我预计这种模式，以及 CWE-522 在现实世界中的影响，将在 2026 年继续增长。”

也就是说， 这份新清单凸显了身份、授权和访问控制问题现在已成为安全团队关注的焦点。

“当身份验证缺失、访问控制不当和授权绕过等弱点全部进入前 25 名时，这表明攻击者不断成功地发现并利用身份验证和授权逻辑中的漏洞，”米哈尔说。

“在当今的 SaaS 和 AI 世界中，应用程序通过 API 和集成相互连接，这些弱点很快就会演变成横向移动、数据泄露和实际风险。”