MITRE公布2025年CWE Top 25最危险软件弱点清单，盘点最常成为弱点的原因，以及在实践中带来高风险的软件弱点类型。排名显示，跨站脚本（XSS）维持第1名，SQL注入与跨站请求伪造（CSRF）分居第2与第3名。另外，今年榜单出现多个缓冲区溢出相关项目，包含典型缓冲区溢出首次进入第11名，以及栈缓冲区溢出与堆缓冲区溢出分别列在第14名与第16名。

从前十名来看，Web与命令注入比重高，除XSS与SQL注入外，操作系统命令注入位居第9名，代码注入排第10名。缺少授权检查今年升至第4名，排名相较2024年上升5名。内存安全方面则以越界写入排第5名、释放后使用排第7名、越界读取排第8名，显示传统内存错误仍是高风险类型。

今年榜单调整了映射处理方式，官方说明，CWE Top 25以往会先将数据中的CWE映射标准化为View-1003，即NVD常用来简化的130种弱点集合。2025年则首次改用CVE记录中原始保留的CWE映射数据，不再强制归入View-1003的父类别，并结合CNA（CVE编号机构）社区复核部分数据，使榜单更贴近实际映射惯例。MITRE指出，这项改动使榜单更贴近实际的映射习惯，也让更低阶且更具可操作性的弱点类型有机会进入CWE Top 25，其中缓冲区溢出相关项目成为今年新入榜的代表。

MITRE也提到，2025年首次引入大型语言模型工具，协助对部分CVE记录提出更细致的CWE映射建议，作为后续人工复核与修正的参考依据。MITRE强调，这类工具仅提供建议，不会直接作为最终映射结果，但可用于识别过于抽象或容易被误用的对应关系，并引导映射朝更低阶、更贴近根本原因的弱点类型调整，以提升描述的精准度。

该清单由CISA资助、HSSEDI管理、MITRE运营的CWE项目发布。CISA将优先处理CWE Top 25弱点纳入“安全设计”与“需求驱动安全”倡议的框架，呼吁各组织将这份清单用于规划软件安全策略。根据CISA说明，CWE Top 25被视为跨角色的通用参考，开发与产品团队可据此识别高优先级弱点类型，安全团队可纳入弱点管理与应用程序安全测试流程，采购与风险管理方也可将Top 25作为评估供应商与产品安全性的基准。