TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
MITRE เปิดเผยรายชื่อ 25 อันดับจุดอ่อนซอฟต์แวร์ที่อันตรายที่สุดประจำปี 2025 จากการวิเคราะห์ช่องโหว่กว่า 39,000 รายการที่ถูกเปิดเผยระหว่างเดือนมิถุนายน 2024 ถึงมิถุนายน 2025
รายชื่อดังกล่าวเป็นความร่วมมือระหว่าง MITRE, Homeland Security Systems Engineering and Development Institute (HSSEDI) และ CISA ซึ่งเป็นหน่วยงานที่ดูแล Common Weakness Enumeration (CWE) Program โดยจุดอ่อนของซอฟต์แวร์เหล่านี้อาจเป็นข้อบกพร่อง Bug ช่องโหว่ หรือข้อผิดพลาดในโค้ด การ Implement สถาปัตยกรรม หรือการออกแบบซอฟต์แวร์ ซึ่งผู้โจมตีสามารถใช้ประโยชน์จากจุดอ่อนเหล่านี้เพื่อเจาะระบบ ยึดครองอุปกรณ์ ก่อให้เกิด Denial-of-Service หรือขโมยข้อมูลสำคัญได้
ผลการจัดอันดับพบว่า Cross-Site Scripting (CWE-79) ยังคงครองอันดับ 1 เช่นเดียวกับปีที่ผ่านมา ตามมาด้วย SQL Injection (CWE-89) และ Cross-Site Request Forgery (CWE-352) โดยจุดอ่อนที่ขยับอันดับขึ้นมามากที่สุดได้แก่ Missing Authorization (CWE-862) ที่ขึ้นมา 5 อันดับ, Null Pointer Dereference (CWE-476) ขึ้นมา 8 อันดับ และ Missing Authentication for Critical Function (CWE-306) ขึ้นมา 4 อันดับ สำหรับจุดอ่อนใหม่ที่เข้ามาในรายชื่อปีนี้ได้แก่ Classic Buffer Overflow (CWE-120), Stack-based Buffer Overflow (CWE-121), Heap-based Buffer Overflow (CWE-122), Improper Access Control (CWE-284), Authorization Bypass Through User-Controlled Key (CWE-639) และ Allocation of Resources Without Limits or Throttling (CWE-770)
CISA แนะนำให้ทีมพัฒนาและทีม product ศึกษารายชื่อ 2025 CWE Top 25 เพื่อระบุจุดอ่อนสำคัญและนำแนวทาง Secure by Design มาใช้ในกระบวนการพัฒนา ขณะที่ทีม security ควรนำรายชื่อนี้ไปใช้ในการทดสอบความปลอดภัยของแอปพลิเคชันและกระบวนการจัดการช่องโหว่ เนื่องจากจุดอ่อนเหล่านี้มักง่ายต่อการค้นหาและถูกโจมตี ซึ่งอาจนำไปสู่การยึดครองระบบ การขโมยข้อมูล หรือทำให้แอปพลิเคชันหยุดทำงานได้
