MITRE Top 25: principais fraquezas de software de 2025 e implicações para SDLC

MITRE divulgou o CWE Top 25 de 2025, baseado em 39.080 CVEs. Cross‑site scripting permanece no topo; OS command injection e diversas fraquezas de memória seguem entre as principais. Recomendações incluem integrar checagens CWE no CI/CD e priorizar correções por KEV.

Introdução

O MITRE divulgou a lista CWE Top 25 de 2025, que destaca as fraquezas de software mais prevalentes e exploradas no ano. O relatório resume 39.080 registros CVE mapeados à lista e aponta direções para priorização de correções e mudanças em processos de desenvolvimento.

Descoberta e escopo / O que mudou agora

A lista de 2025 mantém falhas de injeção e corrupção de memória como dominantes. Cross‑site scripting (CWE‑79) permanece no topo, com sete vulnerabilidades listadas como KEV (Known Exploited Vulnerabilities). OS Command Injection (CWE‑78) também aparece com contagem elevada de KEVs (20).

O documento destaca novidades e movimentos: aparecem novamente fraquezas clássicas de memória como Classic Buffer Overflow (CWE‑120) e Improper Access Control (CWE‑284), sinalizando lacunas em bases de código legadas.

Vetor e exploração / O que priorizar

Os dados do MITRE servem para orientar priorização baseada em causas raízes. Para equipes de segurança e desenvolvimento, a recomendação prática é incorporar verificações de CWE no pipeline CI/CD, focando inicialmente em categorias com maior número de KEVs e em vetores que permitem execução remota ou elevação de privilégio.

Padrões a priorizar: validação de entrada, controle de autorização, manejo seguro de memória;
Ferramentas: integração de scanners SAST/DAST com regras mapeadas aos CWE do Top 25;
Governança: exigir métricas de redução de CWE no roadmap de produtos e exigir patches públicos de fornecedores críticos.

Impacto e alcance / Setores afetados

A influência do Top 25 é transsetorial — de aplicações web a bibliotecas nativas. As falhas listadas permitem desde vazamento de dados até execução remota e negação de serviço. Organizações com dependências em código legado ou em linguagens sem segurança de memória estão em maior risco.

Limites das informações / O que falta saber

O ranking é baseado em telemetria de CVE e KEV, o que o torna um guia pragmático; entretanto, não substitui análise de risco contextualizada por ativo. Alguns CWE podem aparecer por conta de maior cobertura e reporte, não necessariamente por aumento absoluto de exploração.

Repercussão / Próximos passos

Equipes de desenvolvimento devem mapear seus ativos contra a lista e adaptar SDLC e pipelines de segurança para reduzir raízes comuns de vulnerabilidade. Adotar linguagens e bibliotecas com garantia de segurança de memória, onde aplicável, e exigir transparência de fornecedores sobre correções deve ser parte da estratégia corporativa.

Fonte: levantamento e publicação relatados pela Cyber Security News com base nos dados do MITRE CWE Top 25 2025.