SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

16 dic 2025

Segu-Info » , , » MITRE Top 25 de debilidades de software más peligrosas de 2025

MITRE Top 25 de debilidades de software más peligrosas de 2025

16 dic 2025, 10:30:00 a.m.   Comenta primero!
  , ,  

Como cada año, MITRE ha publicado la nueva lista con las 25 debilidades de software más peligrosas. La lista anual CWE Top 25 se compiló a partir de las debilidades (CWE) que se encuentran detrás de 39.080 CVE.

"Descubrir las causas raíz de estas vulnerabilidades sirve como una guía eficaz para las inversiones, políticas y prácticas destinadas a prevenir su ocurrencia, lo que beneficia tanto a la industria como a las partes interesadas del gobierno", afirmó MITRE.

Encabezando la lista una vez más se situó el Cross-site Scripting (XSS), mientras que la inyección SQL ascendió un puesto, situándose en segundo lugar, y la falsificación de solicitudes entre sitios, un puesto, situándose en tercer lugar. El uso después de la liberación (octavo puesto) y la inyección de código (décimo) ascendieron un puesto con respecto al año pasado.

Entre las 10 principales, la escritura fuera de límites (quinto lugar), path traversal (sexto), la lectura fuera de límites (octavo) y la inyección de comandos del sistema operativo (noveno) descendieron en comparación con sus clasificaciones del año pasado.

Las clasificaciones se calculan puntuando cada vulnerabilidad según su gravedad y la frecuencia de las vulnerabilidades activas.

Este año, se incluyeron nuevas vulnerabilidades para el desbordamiento de búfer clásico, el desbordamiento de búfer basado en pila, el desbordamiento de búfer basado en montón, el control de acceso inadecuado, la omisión de autorización mediante una clave controlada por el usuario y la asignación de recursos sin límites ni limitación.

Sin embargo, Cory Michal, director de seguridad de AppOmni, argumentó que las "credenciales con protección insuficiente" deberían haber figurado en el Top 25", dado lo peligroso que es el manejo de credenciales débiles. "Cuando los principales proveedores de integración de SaaS como Commvault, Salesloft/Drift y Gainsight sufren una vulneración y los atacantes se llevan tokens OAuth2, esas 'credenciales' se convierten en una llave maestra para miles de inquilinos SaaS posteriores", explicó.

Estamos observando que los adversarios utilizan esos tokens robados para acceder a datos de CRM y colaboración sin siquiera tocar la contraseña de un usuario, y preveo que este patrón, y por lo tanto el impacto real de CWE-522, seguirá creciendo en 2026.

Dicho esto, la nueva lista destaca cómo los problemas de identidad, autorización y control de acceso son ahora una prioridad para los equipos de seguridad. "Cuando debilidades como la falta de autenticación, el control de acceso inadecuado y la omisión de autorización ascienden o entran en el Top 25, es una señal de que los atacantes están logrando constantemente encontrar y explotar brechas en la lógica de autenticación y autorización", afirmó Michal.

En el mundo actual de SaaS e IA, donde las aplicaciones están interconectadas mediante API e integraciones, estas debilidades se transforman rápidamente en movimiento lateral, exposición de datos y riesgo materializado.

Fuente: Infosecurity Magazine



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!