O MITRE divulgou a lista das 25 principais fraquezas de software mais perigosas, identificadas em mais de 39 mil vulnerabilidades reportadas entre junho de 2024 e junho de 2025.
O levantamento foi realizado em parceria com o Homeland Security Systems Engineering and Development Institute (HSSEDI) e a Cybersecurity and Infrastructure Security Agency (CISA), entidades responsáveis pela gestão e patrocínio do programa Common Weakness Enumeration (CWE).
As fraquezas de software podem ser falhas, bugs, vulnerabilidades ou erros presentes no código, na implementação, na arquitetura ou no design de um programa.
Essas falhas podem ser exploradas por invasores para comprometer sistemas, permitindo o controle dos dispositivos, a execução de ataques de negação de serviço (DoS) ou o acesso não autorizado a dados sensíveis.
Para elaborar o ranking deste ano, o MITRE analisou 39.080 registros de vulnerabilidades CVE divulgados entre 1º de junho de 2024 e 1º de junho de 2025, classificando cada fraqueza conforme sua severidade e frequência.
Embora o Cross-Site Scripting (CWE-79) tenha mantido a primeira posição, o ranking registrou várias mudanças em relação ao ano anterior.
Destaques que subiram consideravelmente foram Missing Authorization (CWE-862), Null Pointer Dereference (CWE-476) e Missing Authentication (CWE-306).
Novas entradas na lista das fraquezas mais graves e prevalentes incluem Classic Buffer Overflow (CWE-120), Stack-based Buffer Overflow (CWE-121), Heap-based Buffer Overflow (CWE-122), Improper Access Control (CWE-284), Authorization Bypass Through User-Controlled Key (CWE-639) e Allocation of Resources Without Limits or Throttling (CWE-770).
Segundo o MITRE, "essas falhas costumam ser fáceis de identificar e explorar, resultando em vulnerabilidades que permitem que adversários assumam o controle total do sistema, roubem dados ou interrompam o funcionamento das aplicações".
A CISA reforça que "esta lista anual identifica as fraquezas mais críticas exploradas por agentes maliciosos para comprometer sistemas, roubar informações ou interromper serviços.
Recomendamos que organizações utilizem esse material para orientar suas estratégias de segurança de software".
Nos últimos anos, a CISA publicou diversos alertas da iniciativa Secure by Design, evidenciando a persistência de vulnerabilidades amplamente documentadas que continuam presentes em softwares, mesmo com métodos de mitigação disponíveis.
Alguns desses alertas foram respostas a campanhas maliciosas em andamento, como o aviso de julho de 2024, que solicitou às empresas de tecnologia a correção de falhas de injeção de comandos no sistema operacional, exploradas pelo grupo chinês de hackers conhecido como Velvet Ant em ataques contra dispositivos de borda das redes da Cisco, Palo Alto e Ivanti.
Nesta semana, a agência recomendou que desenvolvedores e equipes de produto revisem a lista Top 25 CWE de 2025 para identificar fragilidades-chave e implementar práticas Secure by Design.
Já as equipes de segurança foram orientadas a integrar a lista em seus processos de testes de segurança em aplicações e gestão de vulnerabilidades.
Em abril de 2025, a CISA anunciou a extensão por mais 11 meses do financiamento governamental ao MITRE para garantir a continuidade do programa Common Vulnerabilities and Exposures (CVE), após um alerta do vice-presidente do MITRE, Yosry Barsoum, sobre o iminente fim do apoio oficial aos programas CVE e CWE.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...