DALL E3 Microsoft Designer risk

As 25 vulnerabilidades de software mais perigosas de 2025

A Agência de Segurança Cibernética e de Infraestrutura (CISA) dos EUA publicou hoje, em colaboração com o Instituto de Engenharia e Desenvolvimento de Sistemas de Segurança Interna (HSSEDI), operado pela MITRE Corporation, a Lista das 25 Vulnerabilidades de Software Mais Perigosas de 2025 (CWE). A lista é publicada anualmente e identifica as vulnerabilidades mais críticas que os adversários do governo americano exploram para comprometer sistemas, roubar dados ou interromper serviços. A lista é a seguinte

  1.  Neutralização inadequada de entrada durante a geração de páginas da Web (‘Cross-site Scripting’) CWE-79
    CVEs no KEV: 7 Classificação no ano passado: 1
  2.  Neutralização inadequada de elementos especiais usados ​​em um comando SQL (‘SQL Injection’) CWE-89
    CVEs no KEV: 4 Classificação no ano passado: 3 (subiu 1 posição) tendência ascendente
  3.  Cross-Site Request Forgery (CSRF) CWE-352
    CVEs no KEV: 0 Classificação no ano passado: 4 (subiu 1 posição) tendência ascendente
  4.  Ausência de autorização CWE-862
    CVEs no KEV: 0 Classificação no ano passado: 9 (subiu 5 posições) tendência ascendente
  5.  Gravação fora dos limites de CWE-787
    CVEs no KEV: 12 Classificação no ano passado: 2 (caiu 3 posições) tendência de queda
  6.  Limitação inadequada de um caminho de diretório para um diretório restrito (‘Path Traversal’) CWE-22
    CVEs no KEV: 10 Classificação no ano passado: 5 (caiu 1 posição) tendência de queda
  7.  Uso após liberação CWE-416
    CVEs no KEV: 14 Classificação no ano passado: 8 (subiu 1 posição) tendência ascendente
  8.  Leitura fora dos limites CWE-125
    CVEs no KEV: 3 Classificação no ano passado: 6 (caiu 2 posições) tendência de queda
  9.  Neutralização inadequada de elementos especiais usados ​​em um comando do sistema operacional (‘Injeção de comando do sistema operacional’) CWE-78
    CVEs no KEV: 20 Classificação no ano passado: 7 (caiu 2) tendência de queda
  10.  Controle inadequado da geração de código (‘Injeção de código’) CWE-94
    CVEs no KEV: 7 Classificação no ano passado: 11 (subiu 1 posição) tendência ascendente
  11.  Cópia de buffer sem verificação do tamanho da entrada (‘Estouro de buffer clássico’) CWE-120
    CVEs no KEV: 0 Classificação no ano passado: N/A
  12.  Upload irrestrito de arquivos com vulnerabilidades perigosas do tipo CWE-434
    CVEs no KEV: 4. Classificação no ano passado: 10 (caiu 2 posições). tendência de queda
  13.  Desreferência de ponteiro nulo CWE-476
    CVEs no KEV: 0 Classificação no ano passado: 21 (subiu 8 posições) tendência ascendente
  14.  Estouro de buffer baseado em pilha CWE-121
    CVEs no KEV: 4 Classificação no ano passado: N/A
  15. Desserialização de dados não confiáveis CWE-502
    CVEs no KEV: 11 Classificação no ano passado: 16 (subiu 1 posição) tendência ascendente
  16. Estouro de buffer baseado em heap CWE-122
    CVEs no KEV: 6 Classificação no ano passado: N/A
  17.  Autorização incorreta CWE-863
    CVEs no KEV: 4 Classificação no ano passado: 18 (subiu 1 posição) tendência ascendente
  18.  Validação de entrada inadequada CWE-20
    CVEs no KEV: 2 Classificação no ano passado: 12 (caiu 6 posições) tendência de queda
  19.  Controle de acesso inadequado CWE-284
    CVEs no KEV: 1 Classificação no ano passado: N/A
  20. Exposição de informações sensíveis a um agente não autorizado CWE-200
    CVEs no KEV: 1 Classificação no ano passado: 17 (caiu 3 posições) tendência de queda
  21. Autenticação ausente para função crítica CWE-306
    CVEs no KEV: 11 Classificação no ano passado: 25 (subiu 4 posições) tendência ascendente
  22. Vulnerabilidades de falsificação de requisição do lado do servidor (SSRF) CWE-918
    CVEs no KEV: 0 Classificação no ano passado: 19 (caiu 3 posições) tendência de queda
  23.  Neutralização inadequada de elementos especiais usados ​​em um comando (‘Injeção de comando’) CWE-77
    CVEs no KEV: 2 Classificação no ano passado: 13 (caiu 10) tendência de queda
  24.  Bypass de autorização por meio de chave controlada pelo usuário CWE-639
    CVEs no KEV: 0 Classificação no ano passado: 30 (subiu 6 posições) tendência ascendente
  25.  Alocação de recursos sem limites ou restrições CWE-770
    CVEs no KEV: 0 Classificação no ano passado: 26 (subiu 1 posição) tendência ascendente

A CISA acrescentou no comunicado três recomendações:

a) Para desenvolvedores e equipes de produto: analisar a lista Top 25 da CWE de 2025 para identificar vulnerabilidades de alta prioridade e adotar práticas de Segurança por Design no desenvolvimento.

b) Para equipes de segurança: Incorporar a lista Top 25 ao gerenciamento de vulnerabilidades e aos testes de segurança de aplicativos para avaliar e mitigar vulnerabilidades críticas.

c) Para gerentes de compras e de risco: Utilizar a lista Top 25 como referência ao avaliar fornecedores e apliquem as diretrizes de Segurança por Demanda para garantir o investimento em produtos seguros.