Sign in Subscribe

A CWE Top 25 / 2025.12

tusy

12 min read

Összefoglaló

A szoftverellátási láncok biztonsága és a digitális infrastruktúrák ellenállóképessége a 21. század harmadik évtizedének közepére a globális gazdasági stabilitás kulcskérdésévé vált. Ebbe a kontextusba illeszkedik a MITRE Corporation és az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) által közösen publikált, 2025-ös "CWE Top 25 Most Dangerous Software Weaknesses" (CWE Top 25 Legveszélyesebb Szoftverhiba) jelentés. A dokumentum, amely a 2024 júniusa és 2025 júniusa között közzétett 39 080 Nyilvános Sebezhetőség és Kitettség (CVE) rekord mélyreható elemzésén alapul, nem csupán egy statisztikai rangsor, hanem a kiberbiztonsági fenyegetettségi tájkép legátfogóbb diagnózisa.

A 2025-ös év vízválasztónak tekinthető a CWE program történetében. A MITRE kutatói radikális módszertani változtatásokat eszközöltek, amelyek alapjaiban forgatták fel a listát. A legjelentősebb döntés a sebezhetőségi kategóriák "View-1003" szerinti normalizálásának elhagyása volt, amely lehetővé tette, hogy a lista a korábbi éveknél sokkal részletgazdagabb és technológiailag pontosabb képet nyújtson a szoftverhibák valódi természetéről. Ennek eredményeként a korábbi években összevont, absztrakt kategóriák helyett specifikus, alacsony szintű memóriakezelési hibák jelentek meg "új" belépőként, mint például a klasszikus, a verem-alapú és a halom-alapú puffertúlcsordulások.

A lista élén továbbra is a Cross-Site Scripting (CWE-79) áll, megingathatatlanul uralva a webes alkalmazások biztonsági kockázatait, amelyet szorosan követ az SQL Injection (CWE-89) és a Cross-Site Request Forgery (CWE-352). Ugyanakkor a legriasztóbb tendencia a hozzáférés-vezérlési (Access Control) hibák drámai előretörése. A Missing Authorization (CWE-862) az 5. helyre, a Missing Authentication (CWE-306) és az Authorization Bypass Through User-Controlled Key (CWE-639) pedig szintén jelentős pozíciójavulást ért el, ami egyértelműen jelzi a modern, API-vezérelt és felhőalapú architektúrák tervezési hiányosságait.

Jelen elemzés célja, hogy a MITRE és a CISA által közzétett adatok alapján, a kiberbiztonsági szakma számára értelmezze a 2025-ös trendeket, feltárja a módszertani változások mögötti okokat, és konkrét, stratégiai útmutatást nyújtson a kockázatok csökkentésére a "Secure by Design" elvek mentén.

1. A kiberbiztonsági tájkép és a CWE program szerepe 2025-ben

1.1 A Common Weakness Enumeration (CWE) program küldetése

A szoftverhibák pontos taxonómiája nélkül a védekezés csupán vaktában lövöldözés lenne. A CWE (Common Weakness Enumeration) program, amelyet a MITRE Corporation kezel a CISA támogatásával, ezt a hiányt pótolja. Míg a CVE (Common Vulnerabilities and Exposures) rendszer az egyes, konkrét szoftvertermékekben talált egyedi hibákat azonosítja (például egy adott router firmware-ének hibáját), addig a CWE a hibák típusait és kiváltó okait (root causes) kategorizálja. Ez a különbségtétel alapvető fontosságú: a CVE megmondja, mit kell patchelni ma, a CWE pedig megmondja, hogyan ne írjuk meg a hibás kódot holnap.

A CWE Top 25 lista jelentősége abban rejlik, hogy aggregálja és súlyozza ezeket a típusokat. Nem minden hiba egyformán veszélyes; egyesek ritkák, de katasztrofálisak, mások gyakoriak, de kevésbé kritikusak. A lista algoritmusa, amely a gyakoriságot és a CVSS (Common Vulnerability Scoring System) szerinti súlyosságot kombinálja, egyfajta "kockázati iránytűt" ad a fejlesztők, auditorok és biztonsági vezetők kezébe.

1.2 A 2025-ös adatkészlet integritása és mérete

A 2025-ös lista hitelességét a mögötte álló adatmennyiség garantálja. A kutatók a 2024. június 1. és 2025. június 1. közötti időszakban publikált 39 080 CVE rekordot dolgoztak fel. Ez az adatbázis magában foglalja a világ minden tájáról, kereskedelmi szoftverekből, nyílt forráskódú projektekből és ipari vezérlőrendszerekből (ICS) származó jelentéseket.

Különös figyelmet érdemel a "Known Exploited Vulnerabilities" (KEV) katalógussal való korreláció. A lista nem csak elméleti hibákat rangsorol; a helyezések tükrözik a valós kihasználtságot is. A Top 25-ben szereplő hibák közül több – mint például az OS Command Injection (CWE-78) 20 KEV rekorddal vagy a Use After Free (CWE-416) 14 rekorddal – a kiberbűnözők és állami szintű támadók (APT csoportok) kedvelt fegyverei. Ez a "harctéri" validáció teszi a listát elengedhetetlen eszközzé a prioritások meghatározásához.

1.3 A secure-by-design Imperatívusz

A 2025-ös jelentés szorosan illeszkedik a CISA és nemzetközi partnerei által hirdetett "Secure by Design" (Tervezésből fakadó biztonság) filozófiához. A kezdeményezés lényege, hogy a biztonsági felelősséget a végfelhasználóról a gyártóra kell áthelyezni. A szoftvereknek "out-of-the-box" biztonságosnak kell lenniük. A CWE Top 25 lista ebben a keretrendszerben úgy funkcionál, mint egy "tiltólista" a tervezők számára: ezek azok a hibák, amelyek jelenléte egy 2025-ben kiadott szoftverben már nem tolerálható tervezési gondatlanságnak minősül.

2. Módszertani paradigmaváltás: A pontosság ára

A 2025-ös lista egyik legfontosabb tanulsága nem a rangsorban, hanem a számítási módszertanban rejlik. A MITRE felismerte, hogy a korábbi évek megközelítései, bár segítették az áttekinthetőséget, elrejtették a technikai részleteket, amelyek a hatékony védekezéshez szükségesek.

2.1 A Normalizálás (view-1003) elhagyása: A részletek felszabadítása

A korábbi években (2019-2024) a CWE Top 25 készítésekor egy "View-1003" nevű egyszerűsített nézethez normalizálták az adatokat. Ez a gyakorlatban azt jelentette, hogy ha egy CVE rekord egy nagyon specifikus hibát jelölt meg (pl. "CWE-121: Stack-based Buffer Overflow"), az algoritmus ezt automatikusan egy általánosabb szülő kategóriába (pl. "CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer") sorolta át. Ennek célja a statisztikai zaj csökkentése és egy könnyebben kommunikálható lista létrehozása volt.

2025-ben ezt a normalizálást megszüntették. A döntés mögött az a felismerés állt, hogy a "buffer overflow" kifejezés túl általános a modern exploit mitigációs technikák (pl. ASLR, DEP, Stack Canaries) korában. Egy verem-alapú túlcsordulás (Stack Overflow) és egy halom-alapú túlcsordulás (Heap Overflow) kihasználása és javítása teljesen eltérő technikákat igényel. A normalizálás elhagyása miatt a korábbi évek "egyeduralkodó" gyűjtőkategóriái (mint a CWE-119) visszaestek vagy eltűntek, helyüket pedig átvették a specifikus, pontosan definiált hibák. Ez magyarázza a listán megjelenő "új" belépők nagy számát, amelyek valójában nem újak, csak most váltak láthatóvá a maguk specifikusságában.

2.2 Mesterséges intelligencia és emberi szakértelem szimbiózisa

A 2025-ös lista összeállítása során a MITRE úttörő módon alkalmazott nagy nyelvi modelleket (LLM). A "CWE Root Cause Mapping Working Group" által fejlesztett, speciálisan a CWE korpuszon betanított LLM eszközt használták a CVE leírások elemzésére.

Ez a technológiai újítás két fronton javította a lista minőségét:

  1. Mélységi elemzés: Az LLM képes volt a szabadszöveges leírásokból olyan technikai részleteket is kinyerni, amelyek alapján pontosabb, alacsonyabb szintű CWE kategóriát javasolt, mint amit egy emberi elemző a szűkös határidők alatt képes lett volna azonosítani.
  2. Konzisztencia: Az automatizált elemzés csökkentette a szubjektivitást a kategorizálásban.

Ugyanakkor a folyamat nem vált teljesen automatizálttá. A MITRE szorosabbra fűzte az együttműködést a CVE-ket kiadó hatóságokkal (CNA - CVE Numbering Authorities). A feldolgozott adatokat visszaküldték a CNA-knak validálásra. A visszajelzési arány kiemelkedő volt: 170 CNA (a megkeresettek 60%-a) válaszolt, ami jelentősen növelte a lista pontosságát. Ennek eredményeként a "Discouraged" (nem ajánlott, túl általános) CWE-k használatának aránya a felére, 10,19%-ról 5,42%-ra csökkent.

2.3 Az absztrakciós szintek változása

A módszertani változások közvetlen következménye az absztrakciós szintek eltolódása. A 2025-ös listán a "Class" szintű (általános) CWE-k száma 9-ről 5-re csökkent, míg a "Base" és "Variant" szintű (specifikus) CWE-k aránya nőtt. Ez a trend azt jelenti, hogy a 2025-ös lista sokkal inkább "actionable" (cselekvésre ösztönző) a fejlesztők számára: nem általános elveket, hanem konkrét kódszintű hibákat rangsorol.

3. A webes alkalmazások achilles-sarka: A top 3 dominanciája

A lista élmezőnye figyelemre méltó, sőt aggasztó stabilitást mutat. A technológiai fejlődés ellenére a webes alkalmazások legalapvetőbb hibái továbbra is a legveszélyesebbek.

3.1 #1 CWE-79: improper neutralization of input during web page generation ('cross-site scripting')

A lista élén, 60.38-as pontszámmal, továbbra is a Cross-Site Scripting (XSS) áll.

  • A fenyegetés természete: Az XSS lehetővé teszi, hogy a támadók rosszindulatú szkripteket futtassanak a felhasználó böngészőjében. Ez a hiba a modern webes ökoszisztéma "sötét anyagához" hasonlítható: mindenhol ott van, és nehéz teljesen kiszűrni.
  • Miért listavezető? A webes felületek robbanásszerű terjedése és a dinamikus tartalomgenerálás (JavaScript, AJAX) dominanciája miatt a támadási felület folyamatosan nő. Bár a modern keretrendszerek (React, Angular, Vue) tartalmaznak beépített védelmet, a fejlesztők gyakran kénytelenek ezeket megkerülni (pl. dangerouslySetInnerHTML használata React-ben), vagy legacy kódokat kell karbantartaniuk, ahol nincs automatikus védelem.
  • KEV Relevancia: 7 ismert kihasznált sebezhetőség kapcsolódik hozzá közvetlenül , de ez csak a jéghegy csúcsa, mivel az XSS gyakran az első lépés egy komplexebb támadási láncban (pl. session lopás, ami később adminisztrátori hozzáféréshez vezet).

3.2 #2 CWE-89: improper neutralization of special elements used in an SQL command ('SQL Injection')

Az SQL Injection a második helyre lépett elő (28.72 pont), egy helyet javítva 2024-hez képest.

  • Technikai kontextus: Ez a hiba akkor fordul elő, amikor a felhasználói bemenetet nem választják el megfelelően az SQL parancsoktól. A következmény teljes adatbázis-kompromittálódás lehet.
  • Miért növekszik? Annak ellenére, hogy az ORM (Object-Relational Mapping) eszközök és a paraméterezett lekérdezések (Prepared Statements) évtizedek óta elérhetőek, az SQLi reneszánszát éli. Ennek oka részben a legacy rendszerek továbbélése, részben pedig az új, komplex adatbázis-lekérdező rétegek (pl. GraphQL over SQL) helytelen implementációja. A zsarolóvírus (ransomware) csoportok előszeretettel használják ezt a vektort a hálózatba való bejutásra és adatszivárogtatásra.

3.3 #3 CWE-352: cross-site eequest forgery (CSRF)

A CSRF a harmadik helyre ugrott (13.64 pont).

  • Elemzés: A CSRF támadás során a támadó ráveszi a gyanútlan felhasználót, hogy akaratán kívül hajtson végre műveleteket egy olyan webalkalmazásban, ahová be van jelentkezve.
  • Trend: A CSRF emelkedése meglepő lehet a böngészők SameSite cookie attribútumainak széles körű elterjedése fényében. Azonban a komplex mikroszolgáltatás-architektúrák, ahol a hitelesítés gyakran token-alapú (és nem cookie-alapú), vagy ahol a CORS (Cross-Origin Resource Sharing) házirendek lazán vannak konfigurálva, új réseket nyitottak.Összehasonlító táblázat a Top 3-rólÖsszehasonlító táblázat a Top 3-ról

4. A Hozzáférés-vezérlés válsága (Authorization crisis)

Ha a 2025-ös lista egyetlen üzenetet hordoz, az a jogosultságkezelés összeomlása a modern alkalmazásokban. A lista legnagyobb mozgásai ebben a szektorban történtek.

4.1 #4 CWE-862: Missing authorization – a legnagyobb ugrás

A "Missing Authorization" hiba 5 helyet javítva a 4. helyre ugrott, közvetlenül a dobogósok mögé.

  • Definíció: A szoftver nem ellenőrzi megfelelően, hogy a felhasználónak van-e joga egy adott erőforrás eléréséhez vagy funkció végrehajtásához. Ez különbözik a hitelesítéstől (ami a személyazonosságot igazolja); itt a jogosultság (mit tehet meg) hiányzik.
  • A növekedés okai: Az API-first fejlesztés és a felhőalapú mikroszolgáltatások (Cloud-Native) terjedése decentralizálta a jogosultságellenőrzést. Míg egy monolitikus alkalmazásban volt egy központi "kapuőr", addig ma több száz API végpont mindegyikének önállóan kellene ellenőriznie a jogosultságot. A fejlesztők gyakran feltételezik, hogy a belső hálózaton belüli hívások megbízhatóak, vagy hogy a "rejtett" URL-eket senki nem találja meg.
  • Valós példa: A jelentés kiemeli a CVE-2025-26378 számú sebezhetőséget a Q-Free MaxTime szoftverben, ahol egy alacsony jogosultságú felhasználó a maxprofile/users/routes.lua végponton keresztül rendszergazdai jelszavakat tudott visszaállítani, mert a rendszer nem ellenőrizte a jogosultsági szintet a kérés feldolgozása előtt. Ez a hiba iskolapéldája annak, hogyan vezet egy egyszerű "missing check" teljes rendszerkompromittáláshoz.

4.2 #24 CWE-639: authorization bypass through user-controlled key (IDOR)

Ez a hiba 6 helyet javítva került a 24. helyre.

  • Technikai mechanizmus: Gyakran "Insecure Direct Object Reference" (IDOR) néven ismert. A támadó megváltoztat egy azonosítót (pl. egy URL paraméterben user_id=100 -> user_id=101), és hozzáfér más felhasználók adataihoz.
  • Trend: A RESTful API-k, amelyek gyakran használnak kiszámítható, szekvenciális azonosítókat (autoincrement ID) a nehezen kitalálható UUID-k helyett, különösen sérülékenyek. A CWE-639 emelkedése közvetlen következménye az API-k robbanásszerű terjedésének.

4.3 #21 CWE-306: missing authentication for critical function

A kritikus funkciók hitelesítésének hiánya 4 helyet javított. Ez a hiba gyakran IoT eszközöknél fordul elő, ahol adminisztrációs interfészek vagy debug portok hitelesítés nélkül érhetők el. A jelentés szerint 11 KEV (Known Exploited Vulnerability) kapcsolódik ehhez a hibához, ami rendkívül magas szám a lista alsóházában, és jelzi, hogy ez a hiba a támadók egyik kedvenc behatolási pontja.

5. Memóriabiztonság: A "visszatérő" rémségek és a puffer-túlcsordulás paradoxon

A 2025-ös lista látszólagos ellentmondást hordoz: miközben a kiberbiztonsági ipar a memóriabiztos nyelvekre (Rust, Go) való áttérést szorgalmazza, a lista tele van "új" memóriahibákkal. Ez azonban nem a hibák számának növekedését, hanem a diagnózis pontosságának javulását jelzi.

5.1 A puffer-túlcsordulás családfájának szétválása

A normalizálás elhagyása miatt a korábbi évek "Improper Restriction of Operations within the Bounds of a Memory Buffer" (CWE-119) gyűjtőkategóriája szétszakadt, és helyette megjelentek a specifikus változatok :

  • #11 CWE-120: Buffer Copy without Checking Size of Input ('Classic Buffer Overflow'): Ez a legősibb hibaforma, ahol a programozó nem ellenőrzi a bemeneti adat hosszát másolás előtt (pl. strcpy használata C-ben). Az, hogy ez a hiba a 11. helyen debütált, jelzi, hogy a legacy kódok és a nem biztonságos függvények használata még mindig tömeges probléma.
  • #14 CWE-121: Stack-based Buffer Overflow: A verem (stack) memóriaterületén történő túlcsordulás. Ez a legveszélyesebb típus, mivel közvetlenül lehetővé teszi a visszatérési cím (return address) felülírását és a vezérlés átvételét (ROP - Return Oriented Programming támadások alapja).
  • #16 CWE-122: Heap-based Buffer Overflow: A dinamikusan foglalt memória (heap) túlcsordulása. Bár a kihasználása technikailag bonyolultabb a modern allokátorok védelme miatt, továbbra is kritikus hiba.

5.2 A magas kockázatú "régi" ismerősök

  • #5 CWE-787: Out-of-bounds Write: Bár 3 helyet esett vissza , 12 KEV rekorddal rendelkezik, ami a lista egyik legmagasabb értéke. A visszaesés statisztikai illúzió: a CVE-k egy része átkerült a specifikusabb CWE-121/122 kategóriákba.
  • #7 CWE-416: Use After Free (UAF): A felszabadított memória újrahasznosítása utáni elérés. Ez a hiba a böngészők és az operációs rendszer kernelek (Windows, Linux) leggyakoribb, távoli kódfuttatást (RCE) lehetővé tevő hibája. A 14 KEV rekord bizonyítja, hogy az UAF a modern exploit fejlesztés csúcsát jelenti.

5.3 A CISA ajánlása: túl a patch-elésen

A CISA "Secure by Design" iránymutatása a memóriahibák kapcsán egyértelmű: a szoftvergyártóknak el kell mozdulniuk a C/C++ nyelvekről a memóriabiztos nyelvek felé. A jelentés rávilágít, hogy a puffertúlcsordulások (CWE-120/121/122) megszüntetése automatikusan csökkentené más memóriahibák (pl. UAF) előfordulását is. Ahol az átállás nem lehetséges, ott a modern hardveres (pl. ARM MTE) és szoftveres (pl. Control Flow Guard) mitigációk kötelezővé tétele a minimum elvárás.

6. Az injekciós technológiák evolúciója: CWE-77 vs. CWE-78

A lista egyik legérdekesebb mozgása a parancsbefecskendezési hibák között figyelhető meg.

6.1 CWE-77: A zuhatag

A Command Injection (CWE-77) 10 helyet zuhant, a 23. helyre. Ez a hiba egy általánosabb, absztrakt kategória ("Improper Neutralization of Special Elements used in a Command"). A zuhanás oka itt is a módszertani változás: az LLM-alapú elemzés és a CNA-k precízebb munkája miatt a CVE-k többsége pontosabb kategóriákba sorolódott át.

6.2 CWE-78: A valós fenyegetés

Ezzel szemben az OS Command Injection (CWE-78) a 9. helyen maradt a Top 10-ben. Ez a specifikus hiba, amikor a támadó operációs rendszer szintű parancsokat (pl. bash, powershell) tud futtatni, a legmagasabb KEV számmal (20 db) rendelkezik a teljes Top 10-ben.

  • Elemzés: A CWE-78 magas KEV száma azt mutatja, hogy ez a "legműveletibb" hiba. Az IoT botnetek (pl. Mirai variánsok) és a zsarolóvírus csoportok előszeretettel használják a hálózati eszközökben (VPN gateway, router) felejtett OS Command Injection hibákat a hálózatba való behatolásra. A CWE-77 visszaesése tehát nem a kockázat csökkenését, hanem a diagnózis pontosabbá válását jelzi: a probléma neve mostantól pontosan CWE-78.

7. A jelentős visszaesők és kiesők elemzése

A lista dinamikáját nem csak az új belépők, hanem a távozók is meghatározzák.

  • CWE-269: Improper Privilege Management: 14 helyet esett, és kiesett a Top 25-ből (#29). Ez meglepő lehet a jogosultsági hibák (CWE-862) emelkedése mellett. A magyarázat valószínűleg a definíciós átfedések tisztázásában rejlik: ami korábban általános "Privilege Management" hiba volt, az most specifikusabb "Missing Authorization" (CWE-862) vagy "Auth Bypass" (CWE-639) címkét kapott.
  • CWE-190: Integer Overflow: Szintén kiesett (#30). Az Integer Overflow gyakran nem önmagában okoz hibát, hanem puffertúlcsorduláshoz vezet. A normalizálás elhagyásával a CVE-ket valószínűleg a következmény (pl. Heap Overflow) alapján kategorizálták, nem a kiváltó ok (Integer Overflow) alapján.
  • CWE-20: Improper Input Validation: 6 helyet esett vissza a 18. helyre. Ez pozitív jelzésnek tűnhet, de valószínűleg itt is a specifikusság a kulcs: az általános "Input Validation" helyett a specifikusabb XSS vagy SQLi kategóriákba kerültek a hibák.

8. Ipari reakciók és stratégiai ajánlások a "secure-by-design" tükrében

A 2025-ös CWE Top 25 lista közzététele nem maradt visszhang nélkül. A CISA és az ipari szereplők egyértelmű üzenetet fogalmaztak meg: a hibák ismerete önmagában nem elég, a fejlesztési kultúrát kell megváltoztatni.

8.1 Ajánlások fejlesztőknek és termék-menedzsereknek

  1. API Biztonság (Shift Left): A CWE-862 és CWE-639 dominanciája miatt az API-k biztonsági tesztelését integrálni kell a CI/CD folyamatokba. Nem elég a funkcionális teszt; minden végponton automatizált jogosultsági teszteket (AuthZ matrix testing) kell futtatni.
  2. Memóriabiztos Nyelvek Adaptációja: Új projektek indításakor ("greenfield") kerülni kell a C/C++ használatát, kivéve, ha abszolút szükséges. A Rust, Go, Java vagy C# használata strukturálisan kiküszöböli a lista 11., 14., 16. és 7. helyezettjét.
  3. Bemenetkezelés: Az XSS és SQLi elleni védelemnek keretrendszer-szintűnek kell lennie. A fejlesztőknek tilos manuális sanitization függvényeket írniuk; helyette a modern keretrendszerek (pl. React, Entity Framework) beépített védelmeit kell használniuk.

8.2 Ajánlások biztonsági vezetőknek (CISO)

  1. KEV-alapú Patch Management: A CWE Top 25-ben szereplő, magas KEV számmal rendelkező hibák (CWE-78, CWE-416, CWE-787) prioritást élveznek. Ezek azok a rések, amelyeken a támadók ma bejönnek.
  2. Szállítói Megfelelőség: A szoftverbeszerzések során követeljék meg a beszállítóktól az SBOM (Software Bill of Materials) átadását, és vizsgálják meg, hogy a használt komponensek tartalmaznak-e Top 25 hibákat. A "Secure by Demand" elv alapján a vásárlóknak nyomást kell gyakorolniuk a gyártókra a biztonságosabb kód érdekében.

9. Következtetések

A 2025-ös CWE Top 25 jelentés egy új korszak kezdetét jelzi a sebezhetőség-menedzsmentben. A módszertani szigorítások, az LLM-ek bevonása és a normalizálás elhagyása egy sokkal élesebb, technológiailag pontosabb képet adott a kiberbiztonsági valóságról.

A kép kettős: egyrészt a webes világban a régi, jól ismert hibák (XSS, SQLi) makacsul tartják magukat, másrészt az új architektúrák (Cloud, API) új típusú, logikai hibákat (Authorization Bypass) hoztak a felszínre. Eközben a mélyben a memóriakezelési hibák továbbra is ketyegő bombaként fenyegetik a rendszerek integritását.

A jövőben várhatóan a szabályozói környezet (pl. EU Cyber Resilience Act, US Executive Orders) egyre inkább hivatkozni fog erre a listára, mint a "minimális elvárható biztonság" mércéjére. Azok a szervezetek, amelyek figyelmen kívül hagyják a CWE Top 25 üzenetét, nemcsak technikai adósságot halmoznak fel, hanem jogi és üzleti kockázatot is vállalnak. A 2025-ös lista üzenete egyértelmű: a pontosság és a specifikusság a védekezés új alapköve.

Függelék: A 2025-ös CWE Top 25 Részletes Adata

Felhasznált forrásaim

1. MITRE shares 2025's top 25 most dangerous software weaknesses, https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/ 

2. 2025 CWE Top 25 Most Dangerous Software Weaknesses - CWE, https://cwe.mitre.org/top25/archive/2025/2025_methodology.html 

3. MITRE Releases 2025 List of Top 25 Most Dangerous Software Vulnerabilities, https://www.securityweek.com/mitre-releases-2025-list-of-top-25-most-dangerous-software-vulnerabilities/ 

4. 2025 CWE Top 25 Key Insights - Common Weakness Enumeration, https://cwe.mitre.org/top25/archive/2025/2025_key_insights.html 

5. 2025 CWE Top 25 Most Dangerous Software Weaknesses, https://cwe.mitre.org/top25/archive/2025/2025_cwe_top25.html 

6. CWE Top 25 Most Dangerous Software Weaknesses, https://cwe.mitre.org/top25/ 

7. 2025 CWE Top 25 Most Dangerous Software Weaknesses - CISA, https://www.cisa.gov/news-events/alerts/2025/12/11/2025-cwe-top-25-most-dangerous-software-weaknesses 

8. “2024 CWE Top 25 Most Dangerous Software Weaknesses” List Now Available - Medium, https://medium.com/@CWE_CAPEC/2024-cwe-top-25-most-dangerous-software-weaknesses-list-now-available-f9e574d2ffbb 

9. CVE-2025-26378 Detail - NVD, https://nvd.nist.gov/vuln/detail/CVE-2025-26378 

10. Secure by Design Alert: Eliminating Buffer Overflow Vulnerabilities, https://www.ic3.gov/CSA/2025/250212.pdf

Sign up for more like this.

Enter your email
Subscribe