2025 年 CWE 最危险的 25 大软件弱点
【摘要】 2025 年 CWE 最危险的 25 大软件弱点,反映出了 39,080 个常见漏洞与暴露(CVE)漏洞背后最严重且普遍存在的弱点。其中2025年 已知被利用漏洞(KEV)这些缺陷中被观察到或已被利用的CVE漏洞,更提醒安全管理人员需要优先修复和检查这些漏洞的修复情况。
1. CWE Top 25
2025 年 CWE 最危险的 25 大软件弱点,反映出了 39,080 个常见漏洞与暴露(CVE)漏洞背后最严重且普遍存在的弱点。
分析这些漏洞的技术根因,有助于:
- 脆弱性降低: 将缺陷信息反馈到 SDLC 和架构规划,帮助消除整类缺陷(例如内存安全、注入)。
- 节省成本: 产品开发过程中引入的弱点减少,意味着部署后管理的漏洞更少,部署后成本更高且资源密集。
- 趋势分析: 洞察漏洞趋势使组织能够更好地聚焦并调整其安全策略。跨生态系统的组织可以利用这些趋势识别系统性问题,推动软件安全实践的集体改进。
- 客户信任: 组织如何公开解决这些弱点,体现了对产品安全的承诺,避免重蹈覆辙。
- 消费者意识提升: 教育软件用户了解危险的弱点和常见漏洞,帮助他们在选择产品时做出明智的决策。
2025 年 CWE 前 25 名是开发者和安全专业人士的重要资源,也是组织在软件、安全和风险管理投资方面做出明智决策的战略指南。
- CWE Top 25 排名
| 排名 | CWE ID | CWE 名称 | 得分 | KEV 中的 CVE | 排名变动 与2024年相比 |
|---|---|---|---|---|---|
| 1 | CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) (Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)) |
60.38 | 7 | 1 (0) |
| 2 | CWE-89 | SQL命令中使用的特殊元素转义处理不恰当(SQL注入) (Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)) |
28.72 | 4 | 3 (+1) |
| 3 | CWE-352 | 跨站请求伪造(CSRF) (Cross-Site Request Forgery (CSRF)) |
13.64 | 0 | 4 (+1) |
| 4 | CWE-862 | 授权机制缺失 (Missing Authorization) |
13.28 | 0 | 9 (+5) |
| 5 | CWE-787 | 跨界内存写 (Out-of-bounds Write) |
12.68 | 12 | 2 (-3) |
| 6 | CWE-22 | 对路径名的限制不恰当(路径遍历) (Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)) |
8.99 | 10 | 5 (-1) |
| 7 | CWE-416 | 释放后使用 (Use After Free) |
8.47 | 14 | 8 (+1) |
| 8 | CWE-125 | 跨界内存读 (Out-of-bounds Read) |
7.88 | 3 | 6 (-2) |
| 9 | CWE-78 | OS命令中使用的特殊元素转义处理不恰当(OS命令注入) (Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)) |
7.85 | 20 | 7 (-2) |
| 10 | CWE-94 | 对生成代码的控制不恰当(代码注入) (Improper Control of Generation of Code (‘Code Injection’)) |
7.57 | 7 | 11 (+1) |
| 11 | CWE-120 | 未进行输入大小检查的缓冲区拷贝(传统缓冲区溢出) (Buffer Copy without Checking Size of Input (‘Classic Buffer Overflow’)) |
6.96 | 0 | 无 |
| 12 | CWE-434 | 危险类型文件的不加限制上传 (Unrestricted Upload of File with Dangerous Type) |
6.87 | 4 | 10 (-2) |
| 13 | CWE-476 | 空指针解引用 (NULL Pointer Dereference) |
6.41 | 0 | 21 (+8) |
| 14 | CWE-121 | 栈缓冲区溢出 (Stack-based Buffer Overflow) |
5.75 | 4 | 无 |
| 15 | CWE-502 | 不可信数据的反序列化 (Deserialization of Untrusted Data) |
5.23 | 11 | 16 (+1) |
| 16 | CWE-122 | 堆缓冲区溢出 (Heap-based Buffer Overflow) |
5.21 | 6 | 无 |
| 17 | CWE-863 | 授权机制不正确 (Incorrect Authorization) |
4.14 | 4 | 18 (+1) |
| 18 | CWE-20 | 输入验证不恰当 (Improper Input Validation) |
4.09 | 2 | 12 (-6) |
| 19 | CWE-284 | 访问控制不恰当 (Improper Access Control)4.07 |
1 | 无 | |
| 20 | CWE-200 | 将敏感信息暴露给未经授权的行为者 (Exposure of Sensitive Information to an Unauthorized Actor) |
4.01 | 1 | 17 (-3) |
| 21 | CWE-306 | 关键功能的认证机制缺失 (Missing Authentication for Critical Function) |
3.47 | 11 | 25 (+4) |
| 22 | CWE-918 | 服务端请求伪造(SSRF) (Server-Side Request Forgery (SSRF)) |
3.36 | 0 | 19 (-3) |
| 23 | CWE-77 | 在命令中使用的特殊元素转义处理不恰当(命令注入) (Improper Neutralization of Special Elements used in a Command (‘Command Injection’)) User Link |
3.15 | 2 | 13 (-10) |
| 24 | CWE-639 | 通过控制用户键值绕过授权机制 (Authorization Bypass Through User-Controlled Key) |
2.62 | 0 | 30 (+6) |
| 25 | CWE-770 | 无限制或未控制地分配资源 (Allocation of Resources Without Limits or Throttling) |
2.54 | 0 | 26 (+1) |
2. 2025年 已知被利用漏洞(KEV)
2021 年, 美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency (CISA) )开始发布“ 已知被利用漏洞(Known Exploited Vulnerabilities (KEV))目录。本目录中的条目是通过通用漏洞与暴露计划(CVE™计划 )报告的漏洞,并被观察到或已被利用。CISA 建议组织监控 KEV 目录,并利用其内容帮助优先排序系统中的修复活动,以降低被攻破的可能性。
分析已知被利用漏洞的 CWE 根因,为对手利用的弱点提供了新的见解和视角(区别于开发者和研究人员最常报告的弱点)。今年的列表计算共包含 182 条 CVE 记录,涵盖截至 2024 年 6 月至 2025 年 6 月(为 KEV 调查所有 CVE 记录被拉取和刷新的日期)KEV 目录中的所有 CVE 记录。与 2025 年 CWE 前 25 名一起,十大 KEV 弱点列表 (采用与 2025 年前 25 名相同的评分方法) 提供了组织在风险降低过程中可用的更多信息。
| 排名 | CWE ID | CWE 名称 | 得分 | KEV 中的 CVE |
排名变动 与2024年相比 |
CWE TOP 25 排名 |
|---|---|---|---|---|---|---|
| 1 | CWE-78 | OS命令中使用的特殊元素转义处理不恰当(OS命令注入) (Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)) |
80.43 | 20 | +2 | 9 |
| 2 | CWE-416 | CWE-416:释放后使用 (Use After Free) |
51.89 | 14 | +7 | 7 |
| 3 | CWE-787 | 跨界内存写 (Out-of-bounds Write) |
50.39 | 12 | -2 | 5 |
| 4 | CWE-306 | 关键功能的认证机制缺失 (Missing Authentication for Critical Function) |
50.27 | 11 | +3 | 21 |
| 5 | CWE-502 | 不可信数据的反序列化 (Deserialization of Untrusted Data) |
46.31 | 11 | 0 | 15 |
| 6 | CWE-22 | 对路径名的限制不恰当(路径遍历) (Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)) |
36.96 | 10 | 0 | 6 |
| 7 | CWE-94 | 对生成代码的控制不恰当(代码注入) (Improper Control of Generation of Code (‘Code Injection’)) |
26.62 | 7 | -3 | 10 |
| 8 | CWE-288 | 使用候选路径或通道进行的认证绕过 (Authentication Bypass Using an Alternate Path or Channel) |
22.31 | 6 | +6 | 无 |
| 9 | CWE-122 | 堆缓冲区溢出 (Heap-based Buffer Overflow) |
20.25 | 6 | +2 | 16 |
| 10 | CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) (Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)) |
17.99 | 7 | +11 | 1 |
2.1. 已知被利用漏洞(KEV)分类
- 分类百分比
饼图显示了 2025 年 CWE 十大 KEV 弱点列表中所有 CWE 映射的弱点类别百分比
- 树状图
树状图图表将 CWE 十大 KEV 弱项类别与各 CWE 条目的分析分数结合在一起。分别是:- 注入: #1、#7 和 #10;
- 内存安全: #2、#3 和 #9;
- 访问控制: #4 和#8;
- 资源控制: #5;
- 文件处理: #6。
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)