851116494544a970dbd459e7c27001c

MITRE 组织公布了 2022 年 CWE 最危险的 25 个软件弱点

  • 浏览次数 21652
  • 喜欢 0
  • 评分 12345

MITRE组织分享了2022年最常见和最危险的25个弱点名单,该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击。”
“软件弱点往往都很容易被针对,并最终会导致可利用漏洞的产品,从而让对手完全接管系统、窃取数据或让业务停摆。”MITRE在发布的公告中写道。
据悉,MITRE综合过去NIST、NVD数据,结合CVE与NVD的数据库中的危害性评分,统计了名单列表。
以下是2022年CWE前25个最危险的软件弱点名单:

排名 ID 名称 得分 发现漏洞数 与2021年的排名变化
1 CWE-787 越界写入 64.2 62 0
2 CWE-79 网页生成过程中不正确地中和输入 (”跨站脚本”) 45.97 2 0
3 CWE-89 在SQL命令中使用的

特殊元素的不当中和(”SQL注入”)

22.11 7 +3
4 CWE-20 不当的输入验证 20.63 20 0
5 CWE-125 界外读取 17.67 1 -2
6 CWE-78 操作系统命令中使用的特殊元素的不当中和(”操作系统命令注入”) 17.53 32 -1
7 CWE-416 内存破坏漏洞 15.50 28 0
8 CWE-22 对受限目录路径名的不适当限制 (”路径穿越”) 14.08 19 0
9 CWE-352 跨站请求伪造(CSRF) 11.53 1 0
10 CWE-434 不受限上传危险类型的文件 9.56 6 0
11 CWE-476 空指针间接引用 7.15 0 +4
12 CWE-502 不可信数据的反序列化 6.68 7 +1
13 CWE-190 整数溢出或绕行 6.53 2 -1
14 CWE-287 危险认证 6.35 4 0
15 CWE-798 使用硬编码的凭证 5.66 0 +1
16 CWE-862 缺少授权 5.53 1 +2
17 CWE-77 “命令注入” 5.42 5 +8
18 CWE-306 关键功能的认证机制缺失 5.15 6 -7
19 CWE-119 对内存缓冲区范围内的操作限制不当 4.85 6 -2
20 CWE-276 默认权限不正确 4.84 0 -1
21 CWE-918 服务器端请求伪造(SSRF) 4.27 8 +3
22 CWE-362 使用共享资源的并发执行与不当的同步(”竞争条件”) 3.57 6 +11
23 CWE-400 不受控制的资源消耗 3.56 2 +4
24 CWE-611 对XML外部实体引用的不当限制 3.38 0 -1
25 CWE-94 “代码注入” 3.32 4 +3

具体来看该榜单的几个排名变化,有几个弱点掉出了榜单排名或首次出现在前25名的排名中。

首先榜单上最大的变动是:

CWE-362(使用共享资源的并发执行与不当的同步(“竞争条件”))从第33位上升到第22位;
CWE-94(“代码注入”)从第28位上升到第25位;
CWE-400(不受控制的资源消耗)从第27位上升到第23位;
CWE-77 (“命令注入”)从第25位上升到第17位;
CWE-476(空指针间接引用)则从第15位上升到第11位。

而下降幅度最大的是:

CWE-306(关键功能认证缺失)从第11位降低到第18位;
CWE-200 (将敏感信息暴露给未经授权的行为者)从第20位降低到第33位;
CWE-522(凭证保护不足)从第21位下降到第38位;

最后一个是CWE-732(关键资源的权限分配不正确)从第22名降低至第30名。

有三条新进入到前25名的条目,它们是:

CWE-362 (使用共享资源的并发执行与不当的同步(“竞争条件”))从第33位升至第22位:
CWE-94 (“代码注入”)从第28名上升至第25名
CWE-400 (不受控制的资源消耗)则是从第27名上升到第23名

相对的也有三条条目跌出前25名,它们是:

CWE-200(将敏感信息暴露给未经授权的行为者)从第20位降至第33位;
CWE-522 (凭证保护不足)从第21位降至第38位;
CWE-732(关键资源的不正确权限分配)从第22位到第30位。

 


转自 FreeBuf,原文链接:https://www.freebuf.com/news/337766.html

封面来源于网络,如有侵权请联系删除