freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

MITRE组织公布了2022年CWE最危险的25个软件弱点
2022-06-30 13:35:18
所属地 上海

MITRE组织分享了2022年最常见和最危险的25个弱点名单,该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击。”
“软件弱点往往都很容易被针对,并最终会导致可利用漏洞的产品,从而让对手完全接管系统、窃取数据或让业务停摆。”MITRE在发布的公告中写道。
据悉,MITRE综合过去NIST、NVD数据,结合CVE与NVD的数据库中的危害性评分,统计了名单列表。
以下是2022年CWE前25个最危险的软件弱点名单:

排名ID名称得分发现漏洞数

与2021年的排名变化

1CWE-787 越界写入64.2620
2CWE-79

网页生成过程中不正确地中和输入 ("跨站脚本")

45.9720
3CWE-89

在SQL命令中使用的

特殊元素的不当中和("SQL注入")

22.117+3
4CWE-20不当的输入验证20.63200
5CWE-125界外读取17.671-2
6CWE-78操作系统命令中使用的特殊元素的不当中和("操作系统命令注入")17.5332-1
7CWE-416内存破坏漏洞15.50280
8CWE-22对受限目录路径名的不适当限制 ("路径穿越")14.08190
9CWE-352跨站请求伪造(CSRF)11.5310
10CWE-434不受限上传危险类型的文件9.5660
11CWE-476空指针间接引用7.150+4
12CWE-502不可信数据的反序列化6.687+1
13CWE-190整数溢出或绕行6.532-1
14CWE-287危险认证6.3540
15CWE-798使用硬编码的凭证5.660+1
16CWE-862缺少授权5.531+2
17CWE-77“命令注入”5.425+8
18CWE-306关键功能的认证机制缺失5.156-7
19CWE-119对内存缓冲区范围内的操作限制不当4.856-2
20CWE-276默认权限不正确4.840-1
21CWE-918服务器端请求伪造(SSRF)4.278+3
22CWE-362使用共享资源的并发执行与不当的同步("竞争条件")3.576+11
23CWE-400不受控制的资源消耗3.562+4
24CWE-611对XML外部实体引用的不当限制3.380-1
25CWE-94“代码注入”3.324+3

具体来看该榜单的几个排名变化,有几个弱点掉出了榜单排名或首次出现在前25名的排名中。

首先榜单上最大的变动是:

CWE-362(使用共享资源的并发执行与不当的同步(“竞争条件”))从第33位上升到第22位;
CWE-94(“代码注入”)从第28位上升到第25位;
CWE-400(不受控制的资源消耗)从第27位上升到第23位;
CWE-77 (“命令注入”)从第25位上升到第17位;
CWE-476(空指针间接引用)则从第15位上升到第11位。

而下降幅度最大的是:

CWE-306(关键功能认证缺失)从第11位降低到第18位;
CWE-200 (将敏感信息暴露给未经授权的行为者)从第20位降低到第33位;
CWE-522(凭证保护不足)从第21位下降到第38位;

最后一个是CWE-732(关键资源的权限分配不正确)从第22名降低至第30名。

有三条新进入到前25名的条目,它们是:

CWE-362 (使用共享资源的并发执行与不当的同步(“竞争条件”))从第33位升至第22位:
CWE-94 (“代码注入”)从第28名上升至第25名
CWE-400 (不受控制的资源消耗)则是从第27名上升到第23名

相对的也有三条条目跌出前25名,它们是:

CWE-200(将敏感信息暴露给未经授权的行为者)从第20位降至第33位;
CWE-522 (凭证保护不足)从第21位降至第38位;
CWE-732(关键资源的不正确权限分配)从第22位到第30位。

# 软件安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者