أصدرت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) بالتعاون مع مؤسسة MITRE تقريرها السنوي حول أخطر 25 ثغرة برمجية لعام 2025، المعروف باسم CWE Top 25. التقرير يحدد الثغرات الأكثر استغلالاً من قبل المهاجمين لاختراق الأنظمة وسرقة البيانات أو تعطيل الخدمات، وقد جرى تجميعه استناداً إلى تحليل شامل لـ39,080 ثغرة أمنية (CVE) نُشرت خلال العام الجاري.
أبرز الثغرات في صدارة القائمة
تصدرت ثغرة Cross-Site Scripting (XSS) القائمة، وهي من أكثر الهجمات شيوعاً في استهداف تطبيقات الويب عبر إدخال شيفرات خبيثة في صفحات المستخدمين. تلتها ثغرة SQL Injection التي تسمح للمهاجمين بحقن أوامر في قواعد البيانات، ثم Cross-Site Request Forgery (CSRF) التي تستغل ثقة المتصفح لتنفيذ أوامر غير مصرح بها. كما شملت القائمة ثغرات غياب التفويض (Missing Authorization) والكتابة خارج الحدود (Out-of-Bounds Write)، وهي ثغرات خطيرة قد تؤدي إلى سيطرة كاملة على النظام أو تعطيله.
أهمية التقرير للمجتمع التقني
يُعد هذا التقرير مرجعاً أساسياً للمطورين والباحثين الأمنيين، إذ يسلط الضوء على الثغرات الأكثر خطورة وانتشاراً، ما يساعد المؤسسات على تحديد أولوياتها في معالجة المخاطر. كما أن إدراج هذه الثغرات في قائمة موحدة يعزز الوعي العالمي بأهمية اتباع أفضل الممارسات في تطوير البرمجيات، مثل التحقق من المدخلات، إدارة الجلسات، وتطبيق سياسات التفويض الصارمة.
خلفية تاريخية ودور المجتمع الأمني
منذ إطلاق مبادرة CWE، تسعى MITRE إلى بناء قاعدة معرفية موحدة حول الثغرات البرمجية، فيما تعمل CISA على ربط هذه المعرفة بالسياسات الوطنية لحماية البنية التحتية الرقمية. ومع تزايد عدد الثغرات المكتشفة سنوياً، يبرز دور التعاون بين المؤسسات الحكومية والخاصة في مواجهة التهديدات السيبرانية المتنامية.
