أصدرت The MITRE Corporation تحديثها السنوي لقائمة Common Weakness Enumeration لأخطر 25 نقطة ضعف برمجية لعام 2025، بما يعكس التحولات الأحدث في مشهد التهديدات السيبرانية وأساليب الاستغلال.
| الترتيب (2025) | معرف الثغرة (CWE ID) | الثغرة | عدد الثغرات المستغلة (KEV) | الترتيب العام الماضي |
|---|---|---|---|---|
| 1 | CWE-79 | التحييد غير السليم للمدخلات أثناء إنشاء صفحات الويب (XSS) | 7 | 1 |
| 2 | CWE-89 | التحييد غير السليم للعناصر الخاصة في أوامر SQL (حقن SQL) | 4 | 3 |
| 3 | CWE-352 | تزوير الطلبات عبر المواقع (CSRF) | 0 | 4 |
| 4 | CWE-862 | غياب آليات التفويض | 0 | 9 |
| 5 | CWE-787 | الكتابة خارج حدود الذاكرة | 12 | 2 |
| 6 | CWE-22 | التقييد غير السليم لمسار الملف ضمن دليل محظور (تخطي المسار) | 10 | 5 |
| 7 | CWE-416 | استخدام الذاكرة بعد تحريرها | 14 | 8 |
| 8 | CWE-125 | القراءة خارج حدود الذاكرة | 3 | 6 |
| 9 | CWE-78 | التحييد غير السليم للعناصر الخاصة في أوامر نظام التشغيل (حقن الأوامر) | 20 | 7 |
| 10 | CWE-94 | التحكم غير السليم في توليد الكود (حقن الكود) | 7 | 11 |
| 11 | CWE-120 | نسخ البيانات دون التحقق من حجم المدخلات | 0 | (N/A) |
| 12 | CWE-434 | رفع ملفات ذات أنواع خطرة دون قيود | 4 | 10 |
| 13 | CWE-476 | إلغاء مرجعية المؤشر الفارغ | 0 | 21 |
| 14 | CWE-121 | فيض الذاكرة المؤقتة المستند إلى المكدس | 4 | (N/A) |
| 15 | CWE-502 | إلغاء تسلسل البيانات غير الموثوقة | 11 | 16 |
| 16 | CWE-122 | فيض الذاكرة المؤقتة المستند إلى الكومة | 6 | (N/A) |
| 17 | CWE-863 | التفويض غير الصحيح | 4 | 18 |
| 18 | CWE-20 | التحقق غير السليم من المدخلات | 2 | 12 |
| 19 | CWE-284 | التحكم غير السليم في الوصول | 1 | (N/A) |
| 20 | CWE-200 | كشف المعلومات الحساسة لطرف غير مصرح له | 1 | 17 |
| 21 | CWE-306 | غياب المصادقة للوظائف الحرجة | 11 | 25 |
| 22 | CWE-918 | تزوير الطلبات من جهة الخادم (SSRF) | 0 | 19 |
| 23 | CWE-77 | التحييد غير السليم للعناصر الخاصة في الأوامر (حقن الأوامر العام) | 2 | 13 |
| 24 | CWE-639 | تجاوز التفويض عبر مفتاح يتحكم به المستخدم (IDOR) | 0 | 30 |
| 25 | CWE-770 | تخصيص الموارد دون حدود أو آليات ضبط | 0 | 26 |
وحافظت ثغرات Cross-site scripting على صدارة القائمة، تلتها ثغرات SQL injection ثم Cross-site request forgery، حيث ارتفعت كل منها مرتبة واحدة مقارنة بالعام الماضي، ما يؤكد استمرار هذه الفئات التقليدية من الثغرات كمداخل رئيسية للهجمات.
وجاءت ثغرة غياب التفويض في المرتبة الرابعة، بعد أن قفزت 5 مراتب، بينما حلت ثغرات الكتابة خارج حدود الذاكرة في المرتبة الخامسة متراجعة مرتبتين عن تصنيفها السابق.
وضمت قائمة العشرة الأوائل أيضاً ثغرات Path traversal، وUse-after-free، وOut-of-bounds read، وOS command injection، وCode injection، وهي فئات تعكس مزيجاً من أخطاء إدارة الذاكرة وسوء التحقق من المدخلات.
وسجل إصدار هذا العام دخول 6 عناصر جديدة إلى قائمة Top 25، من بينها 4 ثغرات لم تكن مصنفة في الإصدارات السابقة. وشملت هذه الإضافات 3 فئات من ثغرات Buffer overflow، التقليدية في المرتبة 11، والمعتمدة على المكدس في المرتبة 14، والمعتمدة على الكومة في المرتبة 16.
كما شملت القائمة الجديدة ثغرة Improper access control في المرتبة 19، وثغرة تجاوز التفويض عبر مفاتيح يتحكم بها المستخدم في المرتبة 24، إضافة إلى تخصيص الموارد دون حدود أو آليات ضبط في المرتبة 25.
في المقابل، خرجت من القائمة ثغرات إدارة الامتيازات غير السليمة، والفيض العددي، والمصادقة غير الصحيحة، والاستهلاك غير المنضبط للموارد، واستخدام بيانات اعتماد مدمجة في الشيفرة، وسوء تقييد العمليات ضمن حدود الذاكرة.
وأوضحت MITRE أن هذه التغييرات جاءت نتيجة مراجعة منهجية احتساب التصنيفات السابقة، وتقليص عمليات الربط بين الثغرات، وقد نشرت المؤسسة تفاصيل إعداد قائمة 2025 ضمن صفحة المنهجية الخاصة بها.
وبحسب وكالة CISA الاميركية، تهدف قائمة CWE Top 25 لعام 2025 إلى دعم خفض الثغرات، وتحسين الكفاءة التشغيلية، وتعزيز ثقة العملاء وأصحاب المصلحة، ورفع مستوى وعي المستخدمين بالمخاطر البرمجية.
وأوصت CISA مطوري البرمجيات بمراجعة القائمة ودمج مبادئ Secure by Design في مراحل تطوير المنتجات، كما دعت فرق الأمن إلى اعتمادها ضمن برامج إدارة الثغرات واختبارات أمن التطبيقات.
وشددت الوكالة أيضاً على أهمية استخدام القائمة، إلى جانب إرشادات Secure by Design، كمرجع معياري عند تقييم الموردين، لضمان توجيه الاستثمارات نحو منتجات آمنة بطبيعتها.
