Il MITRE ha reso pubblica la classifica delle 25 più pericolose debolezze software previste per il 2025, secondo i dati raccolti attraverso le vulnerabilità del national Vulnerability Database. Tali vulnerabilità sono state individuate analizzando 39.080 record di Common Vulnerabilities and Exposures (CVE) riportati nell’anno in corso, al fine di segnalare le cause principali.
L’aumento delle minacce informatiche ha elevato l’importanza della classifica annuale, la quale elaborata in base a dati CVE reali, permette una più efficace identificazione e riduzione dei rischi all’interno delle organizzazioni.
Gli aggressori possono assumere il controllo del sistema, sottrarre dati sensibili o compromettere le applicazioni a causa di questi difetti pervasivi, che sono spesso facilmente individuabili e sfruttabili.
| Vulnerabilità | CWE | CVEs in KEV | Rank Last Year | Trend |
|---|---|---|---|---|
| Improper Neutralization of Input During Web Page Generation (Cross-site Scripting) | CWE-79 | 7 | 1 | — |
| Improper Neutralization of Special Elements used in an SQL Command (SQL Injection) | CWE-89 | 4 | 3 | Upward |
| Cross-Site Request Forgery (CSRF) | CWE-352 | 0 | 4 | Upward |
| Missing Authorization | CWE-862 | 0 | 9 | Upward |
| Out-of-bounds Write | CWE-787 | 12 | 2 | Downward |
| Improper Limitation of a Pathname to a Restricted Directory (Path Traversal) | CWE-22 | 10 | 5 | Downward |
| Use After Free | CWE-416 | 14 | 8 | Upward |
| Out-of-bounds Read | CWE-125 | 3 | 6 | Downward |
| Improper Neutralization of Special Elements used in an OS Command (OS Command Injection) | CWE-78 | 20 | 7 | Downward |
| Improper Control of Generation of Code (Code Injection) | CWE-94 | 7 | 11 | Upward |
| Buffer Copy without Checking Size of Input (Classic Buffer Overflow) | CWE-120 | 0 | N/A | — |
| Unrestricted Upload of File with Dangerous Type | CWE-434 | 4 | 10 | Downward |
| NULL Pointer Dereference | CWE-476 | 0 | 21 | Upward |
| Stack-based Buffer Overflow | CWE-121 | 4 | N/A | — |
| Deserialization of Untrusted Data | CWE-502 | 11 | 16 | Upward |
| Heap-based Buffer Overflow | CWE-122 | 6 | N/A | — |
| Incorrect Authorization | CWE-863 | 4 | 18 | Upward |
| Improper Input Validation | CWE-20 | 2 | 12 | Downward |
| Improper Access Control | CWE-284 | 1 | N/A | — |
| Exposure of Sensitive Information to an Unauthorized Actor | CWE-200 | 1 | 17 | Downward |
| Missing Authentication for Critical Function | CWE-306 | 11 | 25 | Upward |
| Server-Side Request Forgery (SSRF) | CWE-918 | 0 | 19 | Downward |
| Improper Neutralization of Special Elements used in a Command (Command Injection) | CWE-77 | 2 | 13 | Downward |
| Authorization Bypass Through User-Controlled Key | CWE-639 | 0 | 30 | Upward |
| Allocation of Resources Without Limits or Throttling | CWE-770 | 0 | 26 | Upward |
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La classifica CWE Top 25 può aiutare a:
Le vulnerabilità legate alla sicurezza della memoria, come i buffer overflow, sono ricorrenti, il che sta portando all’adozione di linguaggi più sicuri come Rust. Nello stesso tempo, le applicazioni web devono far fronte a minacce e problemi di autenticazione. Inoltre, le vulnerabilità come Use After Free, rientranti nella categoria KEV, richiedono l’implementazione di un modello di controllo basato sullo zero-trust.
È fondamentale che le organizzazioni esaminino i propri codici in base a questo elenco, incorporino le verifiche CWE nelle loro pipeline di integrazione continua, insistano con i fornitori per garantire la trasparenza e sfruttino i contratti per imporre ai fornitori l’applicazione di standard rigorosi per la scrittura di codice sicuro..
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cybercrime
Cultura
Cybercrime
Cyber Italia