約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25

一方「Improper Privilege Management（CWE-269）」や「Improper Authentication（CWE-287）」など、前年まで上位に位置していた一部抽象度の高い脆弱性タイプはトップ25圏外となった。

2025年のトップ25は以下のとおり。

第1位：→：Cross-site Scripting（CWE-79）
第2位：↑：SQL Injection（CWE-89）
第3位：↑：Cross-Site Request Forgery（CWE-352）
第4位：↑：Missing Authorization（CWE-862）
第5位：↓：Out-of-bounds Write（CWE-787）
第6位：↓：Path Traversal（CWE-22）
第7位：↑：Use After Free（CWE-416）
第8位：↓：Out-of-bounds Read（CWE-125）
第9位：↓：OS Command Injection（CWE-78）
第10位：↑：Code Injection（CWE-94）
第11位：新：Classic Buffer Overflow（CWE-120）
第12位：↓：Unrestricted Upload of File with Dangerous Type（CWE-434）
第13位：↑：NULL Pointer Dereference（CWE-476）
第14位：新：Stack-based Buffer Overflow（CWE-121）
第15位：↑：Deserialization of Untrusted Data（CWE-502）
第16位：新：Heap-based Buffer Overflow（CWE-122）
第17位：↑：Incorrect Authorization（CWE-863）
第18位：↓：Improper Input Validation（CWE-20）
第19位：新：Improper Access Control（CWE-284）
第20位：↓：Exposure of Sensitive Information to an Unauthorized Actor（CWE-200）
第21位：↑：Missing Authentication for Critical Function（CWE-306）
第22位：↓：Server-Side Request Forgery（CWE-918）
第23位：↓：Command Injection（CWE-77）
第24位：↑：Authorization Bypass Through User-Controlled Key（CWE-639）
第25位：↑：Allocation of Resources Without Limits or Throttling（CWE-770）

（Security NEXT - 2025/12/25 ） ツイート

PR

関連記事

先週注目された記事（2026年1月25日〜2026年1月31日）
「セキュリティ10大脅威2026」発表 - 多岐にわたる脅威「AIリスク」が初選出
インシデント件数が1.3倍に - 「フィッシング」の増加目立つ
4Q脆弱性届出が約1.6倍に - ソフトとサイトともに増加
先週注目された記事（2026年1月18日〜2026年1月24日）
「JVN iPedia」の脆弱性登録が増加 - 3四半期連続で1万件超
先週注目された記事（2026年1月11日〜2026年1月17日）
先週注目された記事（2026年1月4日〜2026年1月10日）
先週注目された記事（2025年12月28日〜2026年1月3日）
先週注目された記事（2025年12月21日〜2025年12月27日）