MITRE组织公布了2022年CWE最危险的25个软件弱点

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

资讯

MITRE组织公布了2022年CWE最危险的25个软件弱点

2022-06-30 13:35:18

所属地上海

MITRE组织分享了2022年最常见和最危险的25个弱点名单，该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击。”
“软件弱点往往都很容易被针对，并最终会导致可利用漏洞的产品，从而让对手完全接管系统、窃取数据或让业务停摆。”MITRE在发布的公告中写道。
据悉，MITRE综合过去NIST、NVD数据，结合CVE与NVD的数据库中的危害性评分，统计了名单列表。
以下是2022年CWE前25个最危险的软件弱点名单:

排名	ID	名称	得分	发现漏洞数	与2021年的排名变化
1	CWE-787	越界写入	64.2	62	0
2	CWE-79	网页生成过程中不正确地中和输入（"跨站脚本"）	45.97	2	0
3	CWE-89	在SQL命令中使用的特殊元素的不当中和（"SQL注入"）	22.11	7	+3
4	CWE-20	不当的输入验证	20.63	20	0
5	CWE-125	界外读取	17.67	1	-2
6	CWE-78	操作系统命令中使用的特殊元素的不当中和（"操作系统命令注入"）	17.53	32	-1
7	CWE-416	内存破坏漏洞	15.50	28	0
8	CWE-22	对受限目录路径名的不适当限制（"路径穿越"）	14.08	19	0
9	CWE-352	跨站请求伪造(CSRF)	11.53	1	0
10	CWE-434	不受限上传危险类型的文件	9.56	6	0
11	CWE-476	空指针间接引用	7.15	0	+4
12	CWE-502	不可信数据的反序列化	6.68	7	+1
13	CWE-190	整数溢出或绕行	6.53	2	-1
14	CWE-287	危险认证	6.35	4	0
15	CWE-798	使用硬编码的凭证	5.66	0	+1
16	CWE-862	缺少授权	5.53	1	+2
17	CWE-77	“命令注入”	5.42	5	+8
18	CWE-306	关键功能的认证机制缺失	5.15	6	-7
19	CWE-119	对内存缓冲区范围内的操作限制不当	4.85	6	-2
20	CWE-276	默认权限不正确	4.84	0	-1
21	CWE-918	服务器端请求伪造(SSRF)	4.27	8	+3
22	CWE-362	使用共享资源的并发执行与不当的同步（"竞争条件"）	3.57	6	+11
23	CWE-400	不受控制的资源消耗	3.56	2	+4
24	CWE-611	对XML外部实体引用的不当限制	3.38	0	-1
25	CWE-94	“代码注入”	3.32	4	+3

具体来看该榜单的几个排名变化，有几个弱点掉出了榜单排名或首次出现在前25名的排名中。

首先榜单上最大的变动是：

CWE-362（使用共享资源的并发执行与不当的同步（“竞争条件”））从第33位上升到第22位；
CWE-94（“代码注入”）从第28位上升到第25位；
CWE-400(不受控制的资源消耗)从第27位上升到第23位；
CWE-77 （“命令注入”）从第25位上升到第17位;
CWE-476（空指针间接引用）则从第15位上升到第11位。

而下降幅度最大的是：

CWE-306（关键功能认证缺失）从第11位降低到第18位；
CWE-200 （将敏感信息暴露给未经授权的行为者）从第20位降低到第33位；
CWE-522（凭证保护不足）从第21位下降到第38位；
最后一个是CWE-732（关键资源的权限分配不正确）从第22名降低至第30名。

有三条新进入到前25名的条目，它们是：

CWE-362 (使用共享资源的并发执行与不当的同步（“竞争条件”）)从第33位升至第22位：
CWE-94 (“代码注入”)从第28名上升至第25名
CWE-400 (不受控制的资源消耗)则是从第27名上升到第23名

相对的也有三条条目跌出前25名，它们是：

CWE-200（将敏感信息暴露给未经授权的行为者）从第20位降至第33位；
CWE-522 (凭证保护不足)从第21位降至第38位；
CWE-732（关键资源的不正确权限分配）从第22位到第30位。

# 软件安全

本文为独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多