Cross-site scripting (XSS) is door de MITRE Corporation uitgeroepen tot de gevaarlijkste kwetsbaarheid van 2025, gevolgd door SQL Injection op de tweede plek. De organisatie stelt jaarlijks een Top 25 vast van gevaarlijke kwetsbaarheden die veel in software voorkomen, eenvoudig zijn te vinden en misbruiken, en aanvallers de mogelijkheid geven om systemen volledig over te nemen, data te stelen of een denial of service uit te voeren.

Volgens MITRE biedt de Top 25 professionals een praktische en handige bron om risico's te mitigeren. Het gaat dan om programmeurs, testers, gebruikers, projectmanagers en beveiligingsonderzoekers. De Top 25 is gebaseerd op bijna 39.000 kwetsbaarheden die tussen 1 juni 2024 en 1 juni 2025 werden geregistreerd. Vervolgens werd er een scoreformule gebruikt om de ranking van elke kwetsbaarheid te bepalen. Deze formule kijkt hoe vaak de betreffende kwetsbaarheid voorkomt en de beoogde impact wanneer die wordt misbruikt.

Net als in 2024 wordt de lijst aangevoerd door cross-site scripting. Via XSS kan een aanvaller malafide scripts op websites of in webapplicaties injecteren die dan in de browser van het slachtoffer worden uitgevoerd. Zo is het bijvoorbeeld mogelijk om cookies, session tokens en andere vertrouwelijke informatie te stelen. Op de tweede plek staat SQL Injection, dat ten opzichte van 2024 een plek naar boven opschoof. Bij SQL Injection kan een aanvaller SQL-opdrachten op een systeem uitvoeren, wat vaak mogelijk is omdat gebruikersinvoer niet goed wordt gevalideerd. SQL-Injection is een probleem dat al sinds 1998 bekend is, maar nog altijd voorkomt omdat webontwikkelaars onveilig programmeren.

De derde plek werd door MITRE toegekend aan Cross-Site Request Forgery (CSRF). Hierbij kan een aanvaller de browser of applicatie van een slachtoffer opdrachten laten uitvoeren, zonder dat het slachtoffer dit door heeft. In het verleden is CSRF onder andere gebruikt om geld van bankrekeningen te stelen en dns-instellingen van routers aan te passen.