(https://i.postimg.cc/FzdkyvDL/Pc__Security.gif) (https://postimages.org/)
MITRE ha publicado la lista de las 25 debilidades de software más peligrosas de este año, responsables de más de 39.000 vulnerabilidades de seguridad reveladas entre junio de 2024 y junio de 2025.
La lista se elaboró en colaboración con el Instituto de Ingeniería y Desarrollo de Sistemas de Seguridad Nacional (HSSEDI) y la Agencia de Ciberseguridad y Seguridad de Infraestructuras ( CISA ), que gestionan y patrocinan el programa de Enumeración de Debilidades Comunes ( CWE ).
Las debilidades de software pueden ser fallos, errores, vulnerabilidades o defectos en el código, la implementación, la arquitectura o el diseño de un software, que los atacantes pueden aprovechar para comprometer los sistemas que ejecutan el software vulnerable. La explotación exitosa permite a los ciberdelincuentes obtener el control de los dispositivos comprometidos y lanzar ataques de denegación de servicio o acceder a datos confidenciales.
Para elaborar la clasificación de este año, MITRE puntuó cada debilidad en función de su gravedad y frecuencia tras analizar 39.080 registros CVE de vulnerabilidades reportadas entre el 1 de junio de 2024 y el 1 de junio de 2025.
Si bien el Cross-Site Scripting ( CWE-79 ) mantiene su posición en la cima de la lista de las 25 principales debilidades, se produjeron muchos cambios en la clasificación con respecto a la lista del año anterior, incluyendo la Falta de Autorización (CWE-862), la Desreferenciación de Puntero Nulo ( CWE-476 ) y la Falta de Autenticación ( CWE-306 ), que experimentaron los mayores ascensos en la lista.
Las nuevas entradas en la lista de las debilidades más graves y frecuentes de este año son el Desbordamiento de Búfer Clásico (CWE-120), el Desbordamiento de Búfer Basado en Pila ( CWE-121 ), el Desbordamiento de Búfer Basado en Montículo ( CWE-122 ), el Control de Acceso Inapropiado ( CWE-284 ), la Omisión de Autorización Mediante Clave Controlada por el Usuario ( CWE-639 ) y la Asignación de Recursos Sin Límites ni Restricciones ( CWE-770 ).
(https://i.postimg.cc/2ynVFQ78/top-25-most-dangerous-software-weaknesses-(1).png) (https://postimages.org/)
(https://i.postimg.cc/L4PYpSFs/top-25-most-dangerous-software-weaknesses-(2).png) (https://postimages.org/)
«A menudo fáciles de encontrar y explotar, estas vulnerabilidades pueden permitir a los atacantes tomar el control total de un sistema, robar datos o impedir el funcionamiento de las aplicaciones», declaró MITRE.
«Esta lista anual identifica las debilidades más críticas que los atacantes explotan para comprometer sistemas, robar datos o interrumpir servicios. CISA y MITRE animan a las organizaciones a revisar esta lista y utilizarla para fundamentar sus respectivas estrategias de seguridad de software», añadió la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA).
En los últimos años, CISA ha emitido múltiples alertas de «Seguridad desde el diseño» que destacan la prevalencia de vulnerabilidades ampliamente documentadas que persisten en el software a pesar de la disponibilidad de medidas de mitigación.
Algunas de estas alertas se han publicado en respuesta a campañas maliciosas en curso, como la alerta de julio de 2024 que solicitaba a las empresas tecnológicas que eliminaran las vulnerabilidades de inyección de comandos del sistema operativo, explotadas por los hackers estatales chinos de Velvet Ant en ataques dirigidos a dispositivos de red de Cisco, Palo Alto e Ivanti.
Esta semana, la agencia de ciberseguridad recomendó a los desarrolladores y equipos de producto que revisaran la lista CWE Top 25 de 2025 para identificar las debilidades clave y adoptar prácticas de seguridad desde el diseño, mientras que a los equipos de seguridad se les pidió que la integraran en sus procesos de pruebas de seguridad de aplicaciones y gestión de vulnerabilidades.
En abril de 2025, CISA también anunció que el gobierno estadounidense había prorrogado la financiación de MITRE por otros 11 meses para garantizar la continuidad del programa crítico de Vulnerabilidades y Exposiciones Comunes (CVE), tras una advertencia del vicepresidente de MITRE, Yosry Barsoum, sobre la inminente expiración de la financiación gubernamental para los programas CVE y CWE.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/