A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicou hoje, em colaboração com o Instituto de Engenharia e Desenvolvimento de Sistemas de Segurança Interna (HSSEDI), operado pela MITRE Corporation, a Lista das 25 Vulnerabilidades de Software Mais Perigosas de 2025 (CWE). A lista é publicada recentemente e identifica as vulnerabilidades mais críticas que os adversários do governo americano exploram para comprometer sistemas, roubar dados ou interromper serviços. A lista é a seguinte
- Neutralização convencional de entrada durante a geração de páginas da Web (‘Cross-site Scripting’) CWE-79
CVEs no KEV: 7 Classificação no ano passado: 1 - Neutralização concentrada de elementos especiais usados em um comando SQL (‘SQL Injection’) CWE-89
CVEs no KEV: 4 Classificação no ano passado: 3 (subiu 1 posição) - Falsificação de solicitação entre sites (CSRF) CWE-352
CVEs no KEV: 0 Classificação no ano passado: 4 (subiu 1 posição)
- Ausência de autorização CWE-862
CVEs no KEV: 0 Classificação no ano passado: 9 (subiu 5 posições) - Gravação fora dos limites de CWE-787
CVEs no KEV: 12 Classificação no ano passado: 2 (caiu 3 posições)
- Limitação restrita de um caminho de diretório para um diretório restrito (‘Path Traversal’) CWE-22
CVEs no KEV: 10 Classificação no ano passado: 5 (caiu 1 posição) - Uso após liberação CWE-416
CVEs no KEV: 14 Classificação no ano passado: 8 (subiu 1 posição) - Leitura fora dos limites CWE-125
CVEs no KEV: 3 Classificação no ano passado: 6 (caiu 2 posições) - Neutralização concentrada de elementos especiais usados em um comando do sistema operacional (‘Injeção de comando do sistema operacional’) CWE-78
CVEs no KEV: 20 Classificação no ano passado: 7 (caiu 2) - Controle inadequado da geração de código (‘Injeção de código’) CWE-94
CVEs no KEV: 7 Classificação no ano passado: 11 (subiu 1 posição) - Cópia de buffer sem seleção do tamanho da entrada (‘Estouro de buffer clássico’) CWE-120
CVEs no KEV: 0 Classificação no ano passado: N/A - Upload irrestrito de arquivos com vulnerabilidades perigosas do tipo CWE-434
CVEs no KEV: 4. Classificação no ano passado: 10 (caiu 2 posições). - Desreferência de ponteiro nulo CWE-476
CVEs no KEV: 0 Classificação no ano passado: 21 (subiu 8 posições) - Estouro de buffer baseado em pilha CWE-121
CVEs no KEV: 4 Classificação no ano passado: N/A - Desserialização de dados não confiável CWE-502
CVEs no KEV: 11 Classificação no ano passado: 16 (subiu 1 posição) - Estouro de buffer baseado em heap CWE-122
CVEs no KEV: 6 Classificação no ano passado: N/A - Autorização incorreta CWE-863
CVEs no KEV: 4 Classificação no ano passado: 18 (subiu 1 posição) - Validação de entrada interna CWE-20
CVEs no KEV: 2 Classificação no ano passado: 12 (caiu 6 posições) - Controle de acesso inadequado CWE-284
CVEs no KEV: 1 Classificação no ano passado: N/A - Exposição de informações confidenciais a um agente não autorizado CWE-200
CVEs no KEV: 1 Classificação no ano passado: 17 (caiu 3 posições) - Autenticação ausente para função crítica CWE-306
CVEs no KEV: 11 Classificação no ano passado: 25 (subiu 4 posições) - Vulnerabilidades de falsificação de requisição do lado do servidor (SSRF) CWE-918
CVEs no KEV: 0 Classificação no ano passado: 19 (caiu 3 posições) - Neutralização concentrada de elementos especiais usados em um comando (‘Injeção de comando’) CWE-77
CVEs no KEV: 2 Classificação no ano passado: 13 (caiu 10) - Ignorar autorização por meio de chave controlada pelo usuário CWE-639
CVEs no KEV: 0 Classificação no ano passado: 30 (subiu 6 posições) - Alocação de recursos sem limites ou restrições CWE-770
CVEs no KEV: 0 Classificação no ano passado: 26 (subiu 1 posição)
A CISA acrescentou no comunicado três recomendações:
a) Para desenvolvedores e equipes de produto: analisar a lista Top 25 da CWE de 2025 para identificar vulnerabilidades de alta prioridade e adotar práticas de Segurança por Design no desenvolvimento.
b) Para equipes de segurança: Incorporar a lista Top 25 ao gerenciamento de vulnerabilidades e aos testes de segurança de aplicativos para avaliar e mitigar vulnerabilidades críticas.
c) Para gerentes de compras e de risco: Utilizar a lista Top 25 como referência ao avaliar fornecedores e aplicar as diretrizes de Segurança por Demanda para garantir o investimento em produtos seguros.
