MITRE เผย CWE Top 25 ช่องโหว่ซอฟต์แวร์ร้ายแรงในปี 2025
MITRE เผย “CWE Top 25” ปี 2025 คืออะไร และทำไมองค์กรต้องให้ความสำคัญ
CWE Top 25 คือรายการ “จุดอ่อนซอฟต์แวร์ที่อันตรายที่สุด” ที่จัดทำโดย MITRE เพื่อชี้ให้เห็นรากเหง้าของช่องโหว่ที่พบบ่อยและส่งผลกระทบสูงในโลกจริง ไม่ได้โฟกัสแค่ CVE รายตัว แต่เน้น “ประเภทความผิดพลาด” ที่ทำให้ซอฟต์แวร์ถูกโจมตีซ้ำ ๆ ปีแล้วปีเล่า โดยชุดข้อมูลของปี 2025 อ้างอิงการวิเคราะห์ CVE จำนวน 39,080 รายการ ซึ่งเผยแพร่ในช่วง 1 มิถุนายน 2024 ถึง 1 มิถุนายน 2025 และใช้ทั้งข้อมูลจาก CNA รวมถึงการ cross-reference กับข้อมูลเสริมจากระบบนิเวศด้านช่องโหว่ เพื่อให้ภาพรวมใกล้เคียงความจริงมากขึ้น
สำหรับทีม Security และผู้พัฒนา รายการนี้มีคุณค่าในเชิงกลยุทธ์ เพราะช่วยตอบคำถามที่สำคัญกว่า “แพตช์ CVE ไหนก่อน” นั่นคือ “เราควรลดโอกาสเกิดช่องโหว่ตั้งแต่ต้นทางอย่างไร” โดยเฉพาะองค์กรที่กำลังทำ Secure SDLC, DevSecOps, หรือกำหนดมาตรฐานการโค้ด/รีวิวโค้ด หากผูก CWE Top 25 เข้ากับการทดสอบ (SAST/DAST), Code Review checklist, และการออกแบบสถาปัตยกรรม จะช่วยลดต้นทุนการแก้ปัญหาหลังขึ้นโปรดักชันได้อย่างมีนัยสำคัญ
ปี 2025 สะท้อนภาพภัยคุกคามอย่างไร: XSS ยังนำ แต่ “Authorization” ขยับแรง
ถ้ามองจากอันดับรวม จุดอ่อนสาย Injection ยังคงครองพื้นที่สำคัญ โดยเฉพาะ Cross-Site Scripting (XSS) ที่ยึดอันดับ 1 ด้วยคะแนนทิ้งห่างอันดับอื่นอย่างชัดเจน ขณะเดียวกัน SQL Injection และ CSRF ก็ขยับขึ้นมาใน Top 3 ซึ่งสะท้อนว่า “ช่องทางโจมตีผ่านเว็บแอป” ยังเป็นสนามหลักที่ผู้โจมตีใช้ทำกำไรและขยายการเข้าถึงระบบ
ประเด็นที่น่าจับตาในปีนี้คือการพุ่งขึ้นของปัญหาด้าน Authorization เช่น “Missing Authorization” ที่ไต่จากอันดับ 9 ขึ้นมาอยู่อันดับ 4 ซึ่งสื่อสารชัดว่าหลายองค์กรยังมีช่องโหว่เชิงตรรกะของสิทธิ์ (Access Control Logic) อยู่มาก ไม่ใช่แค่การป้อนข้อมูลผิดรูปแบบเท่านั้น แต่คือ “ระบบยอมให้ทำสิ่งที่ไม่ควรทำ” ซึ่งมักกลายเป็นเหตุของการรั่วไหลข้อมูล การยกระดับสิทธิ์ หรือการเข้าถึงฟังก์ชันสำคัญโดยไม่ควรได้รับอนุญาต
ตารางสรุป CWE Top 25 ปี 2025 (อันดับ–ชื่อ–คะแนน) สำหรับใช้คุยกับทีม Dev/Owner
ตารางด้านล่างเหมาะสำหรับนำไปทำเป็น baseline ในการกำหนดนโยบาย Secure Coding, ทำ checklist ก่อนขึ้นระบบจริง และสื่อสารกับ Product Owner ให้เห็นภาพว่า “ความเสี่ยงระดับโครงสร้าง” ของซอฟต์แวร์ควรลงทุนตรงไหนก่อน
| Rank | CWE | Weakness | Score |
|---|---|---|---|
| 1 | CWE-79 | Cross-Site Scripting (XSS) | 60.38 |
| 2 | CWE-89 | SQL Injection | 28.72 |
| 3 | CWE-352 | Cross-Site Request Forgery (CSRF) | 13.64 |
| 4 | CWE-862 | Missing Authorization | 13.28 |
| 5 | CWE-787 | Out-of-bounds Write | 12.68 |
| 6 | CWE-22 | Path Traversal | 8.99 |
| 7 | CWE-416 | Use After Free | 8.47 |
| 8 | CWE-125 | Out-of-bounds Read | 7.88 |
| 9 | CWE-78 | OS Command Injection | 7.85 |
| 10 | CWE-94 | Code Injection | 7.57 |
| 11 | CWE-120 | Classic Buffer Overflow | 6.96 |
| 12 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 6.87 |
| 13 | CWE-476 | NULL Pointer Dereference | 6.41 |
| 14 | CWE-121 | Stack-based Buffer Overflow | 5.75 |
| 15 | CWE-502 | Deserialization of Untrusted Data | 5.23 |
| 16 | CWE-122 | Heap-based Buffer Overflow | 5.21 |
| 17 | CWE-863 | Incorrect Authorization | 4.14 |
| 18 | CWE-20 | Improper Input Validation | 4.09 |
| 19 | CWE-284 | Improper Access Control | 4.07 |
| 20 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 4.01 |
| 21 | CWE-306 | Missing Authentication for Critical Function | 3.47 |
| 22 | CWE-918 | Server-Side Request Forgery (SSRF) | 3.36 |
| 23 | CWE-77 | Command Injection | 3.15 |
| 24 | CWE-639 | Authorization Bypass Through User-Controlled Key | 2.62 |
| 25 | CWE-770 | Allocation of Resources Without Limits or Throttling | 2.54 |
สัญญาณสำคัญ: ปีนี้ “มีหน้าใหม่” และการจัดอันดับสะท้อนข้อมูล CWE Mapping ที่แม่นขึ้น
MITRE ชี้ว่าปี 2025 มีการขยับอันดับจำนวนมาก พร้อมทั้งมีรายการที่เพิ่งเข้ามาใหม่หลายตัว โดยเฉพาะกลุ่ม Buffer Overflow แบบคลาสสิก/Stack/Heap ที่โผล่เข้ามาในอันดับ 11, 14 และ 16 ซึ่งเป็นสัญญาณว่า “ปัญหา Memory Safety” ยังไม่หายไปไหน และยังคงสร้างผลกระทบหนักในโลกจริง เมื่อไปอยู่ในซอฟต์แวร์ที่ใช้ภาษาเชิงคอมไพล์หรือส่วนประกอบระดับระบบ
อีกด้านหนึ่ง รายงาน Key Insights ระบุว่าปี 2025 เปลี่ยนแนวทางสำคัญ คือใช้ CWE mappings ตามที่ถูกให้มาและผ่านการรีวิว โดยไม่บีบ/normalize กลับไปที่ View-1003 แบบเดิม ส่งผลให้ภาพรวมสะท้อน “การแมปสาเหตุราก (root cause)” ที่ละเอียดและ actionable มากขึ้น และทำให้ CWE บางรายการที่เคยอยู่อันดับสูงในอดีตหลุด Top 25 ไป เพราะการแมปแบบเดิมอาจรวมยอดจากรายการลูกมากเกินจริง
วิธีคำนวณคะแนน: ไม่ได้ดูแค่จำนวน แต่เอา “ความถี่ x ความรุนแรง” มาคูณกัน
จุดที่ทำให้ CWE Top 25 น่าเชื่อถือ คือการให้คะแนนแบบผสม “พบบ่อยแค่ไหน” กับ “ถ้าถูกเอาไปใช้โจมตีแล้วกระทบหนักแค่ไหน” โดย MITRE อธิบายว่าคะแนนสุดท้ายมาจากการคูณคะแนนความถี่ (Frequency) และคะแนนความรุนแรง (Severity) แล้วคูณ 100 ซึ่งช่วยป้องกันการมองด้านเดียว เช่น ช่องโหว่ที่รุนแรงมากแต่พบไม่บ่อย อาจไม่ถูกดันขึ้นมาเป็นอันดับต้น ๆ และช่องโหว่ที่พบถี่แต่ผลกระทบต่ำ ก็จะไม่ถูกทำให้ดูน่ากลัวเกินจริง
นอกจากนี้ ชุดข้อมูลยังถูกกำหนดช่วงเวลาอย่างชัดเจน (มิ.ย. 2024 ถึง มิ.ย. 2025) และมีการดึงข้อมูลมากกว่าหนึ่งครั้งเพื่อให้ทันสถานะล่าสุด ก่อนคำนวณอันดับจริง พร้อมทั้งมีขั้นตอนให้ CNA ช่วยตรวจทาน/แก้ไข CWE mapping ซึ่งเป็นมิติที่ช่วยเพิ่มคุณภาพข้อมูลในระดับระบบนิเวศ ไม่ใช่แค่การคำนวณหลังบ้านอย่างเดียว
องค์กรควรนำไปใช้อย่างไรให้เกิดผลจริง: จาก “รายการ” ไปสู่ “มาตรการ”
หากต้องการให้ CWE Top 25 สร้างผลลัพธ์เชิงลดความเสี่ยงจริง จุดสำคัญคือไม่ควรหยุดแค่การอ่านรายงาน แต่ควรแปลงเป็น “มาตรฐานภายใน” ที่ทีมพัฒนาทำตามได้ โดยเริ่มจากการจัดกลุ่มตามธรรมชาติของความเสี่ยง เช่น Injection, Access Control, Memory Safety และ Resource Management แล้ววาง controls ที่วัดผลได้ เช่น การบังคับใช้ input handling/encoding ที่ถูกต้องสำหรับเว็บ, การออกแบบ authorization ที่ยึดหลัก deny-by-default, การทำ threat modeling ในจุดที่มี privilege/role, และการกำหนด secure defaults สำหรับการอัปโหลดไฟล์
ในเชิงปฏิบัติ แนวทางที่มักเห็นผลคือการเลือก “Top 5–10” ที่สัมพันธ์กับเทคโนโลยีที่องค์กรใช้จริง แล้วผูกเข้ากับ pipeline เช่น เพิ่ม rules ใน SAST, เพิ่ม test cases สำหรับ auth bypass/IDOR/privilege, เพิ่ม secure code pattern ใน internal guideline และทำ KPI แบบคุณภาพ เช่นอัตราการเกิดซ้ำของ CWE เดิมใน PR/Release ถ้าองค์กรทำครบวงจร รายการ Top 25 จะไม่ใช่เพียงข่าว แต่กลายเป็นกลไกลดเหตุการณ์ซ้ำซากในระยะยาว
Reference
AnuPriya. (2025, December 12). MITRE unveils 2025’s top 25 most dangerous software weaknesses. Cyber Press. https://cyberpress.org/mitre-unveils-2025s-top-25/
MITRE. (2025, December 10). 2025 CWE top 25 most dangerous software weaknesses. Common Weakness Enumeration (CWE). https://cwe.mitre.org/top25/archive/2025/2025_cwe_top25.html
MITRE. (2025, December 10). 2025 CWE top 25 key insights. Common Weakness Enumeration (CWE). https://cwe.mitre.org/top25/archive/2025/2025_key_insights.html
MITRE. (2025, December 10). 2025 CWE top 25 methodology. Common Weakness Enumeration (CWE). https://cwe.mitre.org/top25/archive/2025/2025_methodology.html
หากสนใจสินค้า หรือต้องการคำปรึกษาเพิ่มเติม
💬 Line: @monsteronline
☎️ Tel: 02-026-6664
📩 Email: sales@mon.co.th
🌐 ดูสินค้าเพิ่มเติม: mon.co.th
Leave a comment