MITRE offentliggør 2025’s Top 25 farligste software-svagheder

Eskil Sørensen
12.15.2025 14:15
Gamle kendinge præger listen

MITRE har i samarbejde med Homeland Security Systems Engineering and Development Institute (HSSEDI) og CISA offentliggjort årets liste over de 25 mest farlige software-svagheder, som har været årsag til over 39.000 kendte sårbarheder (CVE’er) rapporteret mellem juni 2024 og juni 2025. Listen er en del af Common Weakness Enumeration (CWE)-programmet og fungerer som en pejlemærke for udviklere, sikkerhedsteams og organisationer, der ønsker at styrke deres software-sikkerhed.

Det skriver Bleeping Computer.

Fejl på fejl

Svaghederne på listen repræsenterer fejl i kode, design eller implementering, som angribere kan udnytte til at kompromittere systemer, stjæle data eller forårsage nedbrud. Ifølge MITRE er disse svagheder ofte nemme at finde og udnytte, hvilket gør dem særligt attraktive for trusselsaktører.

Top 5 svagheder i 2025

  1. CWE-79: Cross-Site Scripting (XSS)
    XSS fastholder sin førsteplads med en score på 60,38. Denne svaghed giver angribere mulighed for at injicere skadelig kode i webapplikationer og kompromittere brugersessioner.
  2. CWE-89: SQL Injection
    Klassikeren rykker op på andenpladsen. SQL Injection kan give fuld adgang til databaser og er fortsat en af de mest ødelæggende angrebsvektorer.
  3. CWE-352: Cross-Site Request Forgery (CSRF)
    CSRF stiger til tredjepladsen og udnytter manglende kontrol af brugerhandlinger, hvilket kan føre til uautoriserede transaktioner.
  4. CWE-862: Missing Authorization
    Denne svaghed opstår, når applikationen ikke tjekker, om en bruger har de nødvendige rettigheder til at udføre en handling. Resultatet kan være uautoriseret adgang til kritiske funktioner, manipulation af data eller eskalering af privilegier.
  5. CWE-787: Out-of-Bounds Write
    En klassisk memory corruption-fejl, hvor data skrives uden for de allokerede grænser i hukommelsen. Det kan føre til programnedbrud, dataforvrængning og i værste fald fjernudførelse af kode.

Store ændringer og nye trusler

Flere svagheder har rykket sig markant op ad listen:

  • Missing Authorization (CWE-862) springer fem pladser op til nr. 4.
  • Null Pointer Dereference (CWE-476) stiger otte pladser til nr. 13.
  • Missing Authentication (CWE-306) rykker fire pladser op til nr. 21.

Derudover er der nye sårbarheder på listen, herunder:

  • Classic Buffer Overflow (CWE-120)
  • Stack-based Buffer Overflow (CWE-121)
  • Heap-based Buffer Overflow (CWE-122)

CISA’s “Secure by Design”-advarsler og aktuelle trusler

CISA har de seneste år udsendt flere “Secure by Design”-advarsler, der fremhæver udbredte og veldokumenterede svagheder, som stadig findes i software trods kendte mitigeringer. Et eksempel er advarslen fra juli 2024, hvor CISA opfordrede tech-virksomheder til at eliminere OS Command Injection-sårbarheder, som blev udnyttet af den kinesiske statshackergruppe Velvet Ant i angreb mod Cisco-, Palo Alto- og Ivanti-enheder.

I denne uge anbefaler CISA udviklere og produktteams at:

  • Gennemgå CWE Top 25 for at identificere kritiske svagheder.
  • Implementere Secure by Design-principper i udviklingsprocesser.
  • Integrere listen i app-sikkerhedstest og vulnerability management.

 

Læs mere

Information