MITRE Rilis Daftar 25 Kelemahan Perangkat Lunak Paling Berbahaya Tahun 2025

MITRE kembali merilis daftar tahunan 25 kelemahan perangkat lunak paling berbahaya yang menjadi akar dari puluhan ribu kerentanan keamanan. Sepanjang periode Juni 2024 hingga Juni 2025, lebih dari 39.000 kerentanan keamanan tercatat berasal dari berbagai kelemahan mendasar dalam pengembangan dan desain perangkat lunak.

Daftar ini disusun melalui kerja sama dengan Homeland Security Systems Engineering and Development Institute (HSSEDI) serta Cybersecurity and Infrastructure Security Agency (CISA), yang bersama-sama mengelola dan mensponsori program Common Weakness Enumeration (CWE). Program tersebut menjadi rujukan global dalam mengklasifikasikan kelemahan keamanan perangkat lunak.

Kelemahan perangkat lunak mencakup berbagai bentuk cacat, mulai dari bug, kesalahan implementasi, hingga desain arsitektur yang tidak aman. Celah-celah ini kerap dimanfaatkan penyerang untuk menembus sistem, mengambil alih perangkat, memicu serangan penolakan layanan, atau mencuri data sensitif.

Untuk menyusun peringkat tahun ini, MITRE menganalisis 39.080 catatan CVE yang dilaporkan antara 1 Juni 2024 hingga 1 Juni 2025. Setiap kelemahan dinilai berdasarkan tingkat keparahan dan frekuensi kemunculannya di dunia nyata.

Cross-Site Scripting (CWE-79) kembali menempati posisi teratas sebagai kelemahan paling berbahaya, mempertahankan peringkatnya dari tahun sebelumnya. Namun, daftar 2025 menunjukkan banyak pergeseran signifikan. Missing Authorization (CWE-862), Null Pointer Dereference (CWE-476), dan Missing Authentication (CWE-306) menjadi kelemahan dengan lonjakan peringkat paling mencolok dibandingkan tahun lalu.

Sejumlah entri baru juga masuk dalam daftar kelemahan paling parah dan paling sering dieksploitasi. Di antaranya adalah berbagai varian buffer overflow, kontrol akses yang tidak tepat, hingga mekanisme alokasi sumber daya tanpa pembatasan yang memadai. Kelemahan-kelemahan ini dinilai berisiko tinggi karena relatif mudah ditemukan dan dieksploitasi, namun berdampak besar terhadap keamanan sistem.

MITRE menegaskan bahwa banyak dari kelemahan tersebut memungkinkan penyerang mengambil alih sistem sepenuhnya, mencuri data, atau melumpuhkan aplikasi. CISA turut menekankan bahwa daftar tahunan ini dirancang untuk membantu organisasi memahami pola eksploitasi yang paling sering digunakan pelaku ancaman siber.

Dalam beberapa tahun terakhir, CISA secara aktif menerbitkan peringatan “Secure by Design” yang menyoroti masih maraknya kelemahan lama yang seharusnya dapat dicegah melalui praktik pengembangan yang lebih aman. Beberapa peringatan bahkan dikeluarkan sebagai respons terhadap kampanye serangan aktif yang memanfaatkan celah yang telah lama terdokumentasi.

Pekan ini, CISA kembali mengimbau pengembang dan tim produk untuk meninjau daftar CWE Top 25 tahun 2025 sebagai dasar evaluasi keamanan aplikasi. Tim keamanan juga diminta mengintegrasikan daftar ini ke dalam proses pengujian aplikasi dan manajemen kerentanan.

Sebagai bagian dari upaya menjaga keberlanjutan ekosistem keamanan siber, pemerintah Amerika Serikat pada April 2025 memperpanjang pendanaan MITRE selama 11 bulan. Langkah ini diambil untuk memastikan kelangsungan program Common Vulnerabilities and Exposures (CVE) yang menjadi fondasi penting dalam pelaporan dan mitigasi kerentanan global.