MITRE pubblica la lista delle TOP25 debolezze software più pericolose del 2025

13 Dicembre 2025 16:21

Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali vulnerabilità sono state individuate analizzando 39.080 record di Common Vulnerabilities and Exposures (CVE) riportati nell’anno in corso, al fine di segnalare le cause principali.

L’aumento delle minacce informatiche ha elevato l’importanza della classifica annuale, la quale elaborata in base a dati CVE reali, permette una più efficace identificazione e riduzione dei rischi all’interno delle organizzazioni.

Advertising

Gli aggressori possono assumere il controllo del sistema, sottrarre dati sensibili o compromettere le applicazioni a causa di questi difetti pervasivi, che sono spesso facilmente individuabili e sfruttabili.

Vulnerabilità	CWE	CVEs in KEV	Rank Last Year	Trend
Improper Neutralization of Input During Web Page Generation (Cross-site Scripting)	CWE-79	7	1	—
Improper Neutralization of Special Elements used in an SQL Command (SQL Injection)	CWE-89	4	3	Upward
Cross-Site Request Forgery (CSRF)	CWE-352	0	4	Upward
Missing Authorization	CWE-862	0	9	Upward
Out-of-bounds Write	CWE-787	12	2	Downward
Improper Limitation of a Pathname to a Restricted Directory (Path Traversal)	CWE-22	10	5	Downward
Use After Free	CWE-416	14	8	Upward
Out-of-bounds Read	CWE-125	3	6	Downward
Improper Neutralization of Special Elements used in an OS Command (OS Command Injection)	CWE-78	20	7	Downward
Improper Control of Generation of Code (Code Injection)	CWE-94	7	11	Upward
Buffer Copy without Checking Size of Input (Classic Buffer Overflow)	CWE-120	0	N/A	—
Unrestricted Upload of File with Dangerous Type	CWE-434	4	10	Downward
NULL Pointer Dereference	CWE-476	0	21	Upward
Stack-based Buffer Overflow	CWE-121	4	N/A	—
Deserialization of Untrusted Data	CWE-502	11	16	Upward
Heap-based Buffer Overflow	CWE-122	6	N/A	—
Incorrect Authorization	CWE-863	4	18	Upward
Improper Input Validation	CWE-20	2	12	Downward
Improper Access Control	CWE-284	1	N/A	—
Exposure of Sensitive Information to an Unauthorized Actor	CWE-200	1	17	Downward
Missing Authentication for Critical Function	CWE-306	11	25	Upward
Server-Side Request Forgery (SSRF)	CWE-918	0	19	Downward
Improper Neutralization of Special Elements used in a Command (Command Injection)	CWE-77	2	13	Downward
Authorization Bypass Through User-Controlled Key	CWE-639	0	30	Upward
Allocation of Resources Without Limits or Throttling	CWE-770	0	26	Upward

La classifica CWE Top 25 può aiutare a:

Riduzione delle vulnerabilità : le informazioni sulle cause comuni alla radice forniscono un feedback prezioso per la pianificazione SDLC e architettonica dei fornitori, contribuendo a eliminare intere classi di difetti (ad esempio, sicurezza della memoria, iniezione)
Risparmio sui costi : meno vulnerabilità nello sviluppo del prodotto significano meno problemi da gestire dopo la distribuzione, con conseguente risparmio di denaro e risorse
Analisi delle tendenze : la comprensione delle tendenze dei dati consente alle organizzazioni di concentrare meglio gli sforzi di sicurezza
Informazioni sullo sfruttabilità : alcune debolezze, come l’iniezione di comandi, attirano l’attenzione degli avversari, consentendo di stabilire le priorità del rischio.
Fiducia del cliente : la trasparenza nel modo in cui le organizzazioni affrontano queste debolezze dimostra impegno per la sicurezza del prodotto

Le vulnerabilità legate alla sicurezza della memoria, come i buffer overflow, sono ricorrenti, il che sta portando all’adozione di linguaggi più sicuri come Rust. Nello stesso tempo, le applicazioni web devono far fronte a minacce e problemi di autenticazione. Inoltre, le vulnerabilità come Use After Free, rientranti nella categoria KEV, richiedono l’implementazione di un modello di controllo basato sullo zero-trust.

È fondamentale che le organizzazioni esaminino i propri codici in base a questo elenco, incorporino le verifiche CWE nelle loro pipeline di integrazione continua, insistano con i fornitori per garantire la trasparenza e sfruttino i contratti per imporre ai fornitori l’applicazione di standard rigorosi per la scrittura di codice sicuro..

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Cropped RHC 3d Transp2 1766828557 300x300

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.