【要点】

◎MITREは2025年版「最も危険な脆弱性トップ25」を公開。XSSが首位を維持し、認証不足やバッファオーバーフローが急浮上。MITREとCISAは設計段階からのセキュリティ確保と脆弱性管理の徹底を呼びかけている。 (BleepingComputer)

【訳】

MITREが2025年の最も危険なソフトウェア脆弱性トップ25を公開

【図表】

出典: https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/ を翻訳

順位	ID	名称	スコア	KEV CVE	変化
1	CWE-79	クロスサイトスクリプティング	60.38	7	0
2	CWE-89	SQLインジェクション	28.72	4	+1
3	CWE-352	クロスサイトリクエストフォージェリ（CSRF）	13.64	0	+1
4	CWE-862	認証不足	13.28	0	+5
5	CWE-787	範囲外書き込み	12.68	12	-3
6	CWE-22	パストラバーサル	8.99	10	-1
7	CWE-416	フリー後の使用	8.47	14	+1
8	CWE-125	範囲外読み取り	7.88	3	-2
9	CWE-78	OSコマンドインジェクション	7.85	20	-2
10	CWE-94	コードインジェクション	7.57	7	+1
11	CWE-120	古典的バッファオーバーフロー	6.96	0	N/A
12	CWE-434	危険なタイプのファイルの無制限アップロード	6.87	4	-2
13	CWE-476	NULLポインタ参照	6.41	0	+8
14	CWE-121	スタックベースのバッファオーバーフロー	5.75	4	N/A
15	CWE-502	信頼できないデータの逆シリアル化	5.23	11	+1
16	CWE-122	ヒープベースのバッファオーバーフロー	5.21	6	N/A
17	CWE-863	不正な認証	4.14	4	+1
18	CWE-20	不適切な入力検証	4.09	2	-6
19	CWE-284	不適切なアクセス制御	4.07	1	N/A
20	CWE-200	機密情報の漏洩	4.01	1	-3
21	CWE-306	重要機能に対する認証の欠如	3.47	11	+4
22	CWE-918	サーバーサイドリクエストフォージェリ (SSRF)	3.36	0	-3
23	CWE-77	コマンドインジェクション	3.15	2	-10
24	CWE-639	ユーザー制御キーによる認証バイパス	2.62	0	+6
25	CWE-770	制限やスロットリングのないリソース割り当て	2.54	0	+1

出典: https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/ を翻訳、再構成

【要約】

MITREは2024年6月～2025年6月に報告された約3万9千件のCVEを分析し、「2025年版・最も危険なソフトウェア脆弱性トップ25（CWE）」を公開した。首位は依然としてクロスサイトスクリプティング（CWE-79）で、SQLインジェクションやCSRFが続く一方、認証不足（CWE-862）、認証欠如（CWE-306）、NULLポインタ参照などが大きく順位を上げた。さらに古典的／スタック／ヒープ型バッファオーバーフローや不適切なアクセス制御、リソース制限不備などが新規ランクイン。MITREとCISAは、これらが発見・悪用しやすく、侵害や情報漏えいに直結すると警告し、開発段階からの「Secure by Design」と、脆弱性管理・テストへの継続的な組み込みを強く推奨している。

【ニュース】

◆MITRE shares 2025's top 25 most dangerous software weaknesses (BleepingComputer, 2025/12/12 03:43)
[MITREが2025年の最も危険なソフトウェア脆弱性トップ25を公開]
https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/