Организация MITRE выпустила список 25 наиболее опасных программных ошибок (CWE Top 25), которые широко распространены и приводят к серьёзным уязвимостям. Этот список был составлен на основе уязвимостей, опубликованных в Национальной базе данных уязвимостей (NVD).
Эти уязвимости легко использовать, и они позволяют злоумышленнику получить полный контроль над системой. Атакующие могут похитить конфиденциальные данные, вызвать сбой приложения или состояние отказа в обслуживании (DoS).
CWE Top 25
По словам MITRE, список CWE Top 25 станет полезным ресурсом для разработчиков программного обеспечения, тестировщиков, заказчиков ПО, менеджеров проектов, исследователей безопасности и преподавателей, позволяя получить представление об основных угрозах безопасности в индустрии.
В MITRE заявили, что список был создан на основе подхода, ориентированного на данные из опубликованных в NVD записей об уязвимостях (CVE), а также связанных с ними оценок CVSS.
«Затем была применена оценочная формула для определения уровня распространённости и опасности каждого недостатка. Этот подход, основанный на данных, может использоваться как повторяемый, автоматизированный процесс для регулярного создания списка CWE Top 25 с минимальными усилиями» - отмечают в MITRE.
Список 2026 года является первым крупным обновлением с момента выхода CWE/SANS Top 25 в 2011 году. «CWE/SANS Top 25 за 2011 год был составлен с использованием опросов и личных интервью с разработчиками, ведущими аналитиками безопасности, исследователями и поставщиками, тогда как список 2026 года основан на уязвимостях из реального мира» - сообщили в MITRE.
Список CWE Top 25
MITRE предоставила список уязвимостей с общей оценкой CVSS и описанием для каждой из них, включая примеры.
| Ранг | ID | Название | Оценка |
|---|---|---|---|
| 1 | CWE-119 | Некорректное ограничение операций в пределах буфера памяти | 75.56 |
| 2 | CWE-79 | Некорректная нейтрализация ввода при генерации веб-страниц («Межсайтовый скриптинг») | 45.69 |
| 3 | CWE-20 | Некорректная проверка входных данных | 43.61 |
| 4 | CWE-200 | Раскрытие информации | 32.12 |
| 5 | CWE-125 | Чтение за пределами допустимого диапазона (Out-of-bounds Read) | 26.53 |
| 6 | CWE-89 | Некорректная нейтрализация специальных элементов, используемых в SQL-команде («SQL-инъекция») | 24.54 |
| 7 | CWE-416 | Использование после освобождения (Use After Free) | 17.94 |
| 8 | CWE-190 | Целочисленное переполнение или циклический возврат (Integer Overflow or Wraparound) | 17.35 |
| 9 | CWE-352 | Подделка межсайтовых запросов (Cross-Site Request Forgery, CSRF) | 15.54 |
| 10 | CWE-22 | Некорректное ограничение пути к файлу заданным каталогом («Traversal по пути», Path Traversal) | 14.10 |
| 11 | CWE-78 | Некорректная нейтрализация специальных элементов, используемых в команде ОС («Инъекция команд ОС») | 11.47 |
| 12 | CWE-787 | Запись за пределами допустимого диапазона (Out-of-bounds Write) | 11.08 |
| 13 | CWE-287 | Некорректная аутентификация | 10.78 |
| 14 | CWE-476 | Разыменование нулевого указателя (NULL Pointer Dereference) | 9.74 |
| 15 | CWE-732 | Некорректное назначение разрешений для критического ресурса | 6.33 |
| 16 | CWE-434 | Неограниченная загрузка файлов опасного типа | 5.50 |
| 17 | CWE-611 | Некорректное ограничение ссылок на внешние XML-сущности (XXE) | 5.48 |
| 18 | CWE-94 | Некорректный контроль генерации кода («Инъекция кода») | 5.36 |
| 19 | CWE-798 | Использование жёстко заданных учётных данных | 5.12 |
| 20 | CWE-400 | Неконтролируемое потребление ресурсов | 5.04 |
| 21 | CWE-772 | Отсутствие освобождения ресурса после окончания срока его эффективного использования | 5.04 |
| 22 | CWE-426 | Недоверенный путь поиска (Untrusted Search Path) | 4.40 |
| 23 | CWE-502 | Десериализация непроверенных данных | 4.30 |
| 24 | CWE-269 | Некорректное управление привилегиями | 4.23 |
| 25 | CWE-295 | Некорректная проверка сертификата | 4.06 |
Рейтинг CWE, рассчитанный MITRE по оценочной формуле, присваивает более высокий балл уязвимостям, которые являются распространёнными и приводят к серьёзным последствиям.
