MITRE Corporation は、最新の脅威動向を反映するため、「Common Weakness Enumeration(CWE) Top 25 Most Dangerous Software Weaknesses(最も危険なソフトウェアの弱点トップ25)」リストを更新して公開しました。
クロスサイトスクリプティング(XSS)脆弱性はリストのトップの座を維持し、続いて SQL インジェクションとクロスサイトリクエストフォージェリ(CSRF)が続きました。後者2つはそれぞれ、昨年から1つ順位を上げています。
認可の欠如は、2025年版 CWE Top 25 リストで4位となり、5つ順位を上げました。アウトオブバウンズ書き込みは5位となり、2つ順位を落としました。
トップ10にはこのほか、パストラバーサル、Use-After-Free、アウトオブバウンズ読み取り、OS コマンドインジェクション、コードインジェクションの脆弱性が含まれています。
今年のトップ25には新たに6つの項目が加わっており、そのうち4つの CWE はこれまでの版ではランク外でした。
新規エントリには、3つのバッファオーバーフローの弱点(11位のクラシック型、14位のスタックベース型、16位のヒープベース型)、19位の不適切なアクセス制御、24位のユーザー制御キーによる認可バイパス、25位の制限やスロットリングなしでのリソース割り当てが含まれます。
一方で、不適切な権限管理、整数オーバーフローまたはラップアラウンド、不適切な認証、制御されないリソース消費、ハードコードされた認証情報の使用、メモリバッファの範囲内での操作の不適切な制限といった項目は、CWE Top 25 リストから外れました。
これらの変更は、これまでの Top 25 の算出方法の扱い方や、マッピングの大幅な削減の影響を受けています。MITRE は、2025年版リストがどのように作成されたかの詳細を、メソドロジーページで公開しています。
米国のサイバーセキュリティ機関である CISA によると、2025年版 CWE Top 25 は、脆弱性の削減を支援し、コスト効率を高め、顧客およびステークホルダーの信頼を向上させ、顧客の認知を促進することを目的としています。
CISA は、ソフトウェアメーカーに対し、このリストを確認し、製品開発において Secure by Design の実践を取り入れること、またセキュリティチームに対しては、脆弱性管理およびアプリケーションセキュリティテストにこのリストを組み込むことを推奨しています。
トップ25リストはまた、Secure by Design のガイドラインと併せて、ベンダーを評価する際のベンチマークとして使用し、安全な製品への投資を確実にするためにも活用すべきとされています。
