El ranking anual de MITRE, elaborado a partir de más de 39 mil vulnerabilidades reportadas en el último año, confirma que fallas clásicas como XSS e inyección SQL siguen dominando, mientras crecen con fuerza los problemas de autenticación, autorización y control de accesos en aplicaciones modernas.
La Corporación MITRE publicó su listado 2025 de las 25 debilidades de software más peligrosas, un informe de referencia para desarrolladores, equipos de seguridad y responsables de compras tecnológicas. El ranking se elaboró tras analizar 39.080 registros CVE correspondientes a vulnerabilidades divulgadas entre junio de 2024 y junio de 2025, y fue desarrollado en conjunto con el Homeland Security Systems Engineering and Development Institute (HSSEDI) y la Agencia de Ciberseguridad y Seguridad de Infraestructura de Estados Unidos (CISA), responsables del programa Common Weakness Enumeration (CWE).
Según MITRE, estas debilidades representan las causas raíz más frecuentes detrás de fallos explotables que permiten a los atacantes tomar control de sistemas, robar información sensible o interrumpir servicios. “A menudo son fáciles de encontrar y explotar, y pueden llevar a vulnerabilidades que permiten a los adversarios tomar completamente un sistema, robar datos o impedir que las aplicaciones funcionen”, señaló la organización.
Por segundo año consecutivo, Cross-Site Scripting (CWE-79) encabeza la lista, con un puntaje muy superior al resto y presencia en el catálogo de vulnerabilidades explotadas activamente. Le siguen SQL Injection (CWE-89), que subió al segundo lugar, y Cross-Site Request Forgery (CWE-352), reflejando que las técnicas de inyección continúan siendo un problema estructural en el desarrollo de aplicaciones. MITRE explicó que las posiciones se calculan ponderando la severidad de cada debilidad y la frecuencia con que aparece en ataques reales.
Uno de los cambios más relevantes del ranking 2025 es el ascenso de fallas vinculadas a identidad y control de accesos. Missing Authorization (CWE-862) escaló cinco posiciones hasta ubicarse en el cuarto lugar, mientras que Missing Authentication for Critical Function (CWE-306) y Authorization Bypass Through User-Controlled Key (CWE-639) también ganaron protagonismo. Para analistas del sector, esta tendencia refleja dificultades persistentes en la implementación correcta de modelos de autenticación y autorización en entornos SaaS, APIs e integraciones complejas.
El informe también confirma la persistencia de vulnerabilidades de seguridad de memoria. Out-of-bounds Write, Use After Free y diversas variantes de buffer overflow aparecen entre las posiciones más altas, lo que demuestra que los errores en la gestión de memoria siguen siendo un riesgo crítico, especialmente en software escrito en lenguajes compilados y en sistemas embebidos.