Továbbra is a Cross-Site Scripting vezet
A listán idén is a Cross-Site Scripting (XSS) található az első helyen, ami jól mutatja, mennyire kitartó problémáról van szó. Az XSS-t az SQL injection és a Cross-Site Request Forgery (CSRF) követi. Érdekesség, hogy a Missing Authorization, a Null Pointer Dereference és a Missing Authentication idén ugrásszerűen erősödtek a toplistán. Ezek mellett több új hiba is bekerült a legveszélyesebbek közé, például a Classic Buffer Overflow, a stack-based buffer overflow, a heap-based buffer overflow, az Improper Access Control, az authorization bypass user-controlled key segítségével, illetve az erőforrás-korlátozás nélküli műveletvégrehajtás.
A háttérben egészen más zajlik: miért ilyen súlyosak ezek a hibák?
Ezek a hibák – amelyek lehetnek tervezési, kódolási vagy architekturális hiányosságok – gyakran egyszerűen megtalálhatók és kiaknázhatók. Egy sikeres támadás során a hackerek teljes ellenőrzést szerezhetnek az áldozat rendszere felett, ellophatják vagy veszélyeztethetik a legfontosabb adatokat, sőt, akár a szolgáltatásokat is leállíthatják. Az XSS például 60,38-as pontszámmal toronymagasan vezet, míg az SQL injection 28,72, a CSRF 13,64 pontot kapott a MITRE friss értékelése szerint. A toplistán feltűnő új hibák, mint például a Classic Buffer Overflow (6,96 pont), bizonyítják, hogy a régi, de alapvető sebezhetőségek továbbra sem veszítettek jelentőségükből.
Fókuszban a védekezés: a CISA ajánlásai
A CISA aktívan arra ösztönzi a szervezeteket, hogy vegyék komolyan a toplista figyelmeztetéseit, hiszen ezek a hibák a szoftverbiztonság leggyengébb láncszemei. Legutóbbi kampányaik során többször rámutattak, hogy sok régi, jól ismert biztonsági rés még mindig él és virul a legtöbb alkalmazásban, annak ellenére, hogy léteznek rájuk megoldások. Továbbá 2024-ben a CISA már egy konkrét eset kapcsán is kiadott riasztást, amikor kínai állami hackerek sorozatosan használtak ki ilyen hibákat ismert hálózati eszközökön. Ezért különösen fontos, hogy a fejlesztők és termékmenedzserek átnézzék a 2025-ös CWE Top 25-öt, és a fejlesztés során a Secure by Design elveket alkalmazzák, míg a biztonsági szakembereknek a tesztelésbe és sebezhetőségmenedzsmentbe is be kellene építeniük ezt a tudásanyagot.
Kockázatok és finanszírozás: lesz-e elég erőforrás?
A programok finanszírozása sem zökkenőmentes: 2025 áprilisában az amerikai kormány csak további 11 hónapra hosszabbította meg a MITRE-t támogató forrásokat. Yosry Barsoum, a MITRE alelnöke korábban figyelmeztetett, hogy komoly gondot okozhat, ha a CVE és CWE programok elveszítik a támogatásukat. Mindez jól mutatja, mekkora szükség van folyamatos, naprakész biztonsági információkra.
A fentiek tükrében: a biztonság csak közös erőfeszítéssel érhető el
A legveszélyesebb szoftverhibák jó része évről évre visszaköszön, ami azt jelzi, hogy a szoftverfejlesztés és az üzemeltetés oldalán komoly szemléletváltásra van szükség. Ha az iparág nem veszi komolyan a MITRE és a CISA által jelzett kockázatokat, akkor a rendszerek továbbra is védtelenek maradnak a jól ismert, könnyen támadható hibákkal szemben. Az átláthatóság, a tudatos fejlesztés és a folyamatos tesztelés nélkülözhetetlen annak érdekében, hogy 2026-ban ne ugyanazokról a sebezhetőségekről kelljen írni.
