MITRE发布了2022年度CWE Top25最危险软件漏洞榜单。这些漏洞易于发现和利用,可导致攻击者接管系统、窃取数据或阻止应用运作。这些漏洞潜在破坏力很大,而且在过去两年中发布的软件中很常见。
软件漏洞指在软件解决方案的代码、架构、实现或设计中发现的缺陷、错误、漏洞或各种其他错误。他们可能会将正在运行的系统暴露在攻击之下,从而使攻击者能够控制受影响的设备、访问敏感信息或触发拒绝服务条件。
“很多软件从业人员会发现CWE Top 25榜单是一种实用且方便的资源,有助于降低风险,”MITRE表示。“这可能包括软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织(SDO)的贡献者。”
创建CWE Top25列表时,MITRE分析了NIST的国家漏洞数据库(NVD)和CISA的已知利用漏洞(KEV)目录中的37,899个CVE的数据后,根据其普遍性和严重程度对每个漏洞进行了评分。
下表是2022 CWE Top25榜单,包括每个漏洞的总分。KEV数量(CVEs)指的是CISA KEV清单上CVE-2020/CVE-2021记录的漏洞映射到本漏洞的数量。
榜单说明
相比2021年,该榜单发生了较为显著的变化,比如一些漏洞的排名下降,而另一些漏洞首次现身该榜单。
榜单中位置上升的漏洞:
CWE-362(使用同步不当的共享资源而造成并发执行(“条件竞争”)):从第33位上升到第22位
CWE-94(对代码生成的控制不当(“代码注入”)),从第28位上升至第25位
CWE-400(不受控制的资源耗尽),从第27位上升至第23位
CWE-77(对命令中使用的特殊元素处理不当(“命令注入”)),从第25位上升至第17位
CWE-476(空指针解引用),从第15位上升至第11位
排名下降多的漏洞:
CWE-306(关键功能认证缺失):从第11名下降到第18名
CWE-200(将敏感信息暴露给越权方):从第20名下降到第33名
CWE-522(凭证保护不充分):从第21名下降到第38名
CWE-732(关键资源权限的分配不正确):从第22名下降到第30名
新入选榜单的漏洞:
CWE-362(使用同步不当的共享资源而造成并发执行(“条件竞争”)):从第33名上升至第22名
CWE-94(对代码生成的控制不当(“代码注入”)):从第28名上升至第25名
CWE-400(不受控制的资源耗尽):从第27名上升至第23名
跌出Top 25榜单的漏洞:
CWE-200(将敏感信息暴露给越权方):从第20名下降到第33名
CWE-522(凭证保护不充分):从第21名下降到第38名
CWE-732(关键资源权限的分配不正确):从第22名下降到第30名
2022年榜单与2021年榜单的对比
参考链接:
https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:互联网
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照