MITRE發(fā)布了2022年度CWE Top25最危險軟件漏洞榜單。這些漏洞易于發(fā)現(xiàn)和利用，可導(dǎo)致攻擊者接管系統(tǒng)、竊取數(shù)據(jù)或阻止應(yīng)用運(yùn)作。這些漏洞潛在破壞力很大，而且在過去兩年中發(fā)布的軟件中很常見。

軟件漏洞指在軟件解決方案的代碼、架構(gòu)、實(shí)現(xiàn)或設(shè)計中發(fā)現(xiàn)的缺陷、錯誤、漏洞或各種其他錯誤。他們可能會將正在運(yùn)行的系統(tǒng)暴露在攻擊之下，從而使攻擊者能夠控制受影響的設(shè)備、訪問敏感信息或觸發(fā)拒絕服務(wù)條件。

“很多軟件從業(yè)人員會發(fā)現(xiàn)CWE Top 25榜單是一種實(shí)用且方便的資源，有助于降低風(fēng)險，”MITRE表示?！斑@可能包括軟件架構(gòu)師、設(shè)計師、開發(fā)人員、測試人員、用戶、項(xiàng)目經(jīng)理、安全研究人員、教育工作者和標(biāo)準(zhǔn)開發(fā)組織(SDO)的貢獻(xiàn)者。”

創(chuàng)建CWE Top25列表時，MITRE分析了NIST的國家漏洞數(shù)據(jù)庫(NVD)和CISA的已知利用漏洞(KEV)目錄中的37,899個CVE的數(shù)據(jù)后，根據(jù)其普遍性和嚴(yán)重程度對每個漏洞進(jìn)行了評分。

下表是2022 CWE Top25榜單，包括每個漏洞的總分。KEV數(shù)量(CVEs)指的是CISA KEV清單上CVE-2020/CVE-2021記錄的漏洞映射到本漏洞的數(shù)量。

榜單說明
相比2021年，該榜單發(fā)生了較為顯著的變化，比如一些漏洞的排名下降，而另一些漏洞首次現(xiàn)身該榜單。

榜單中位置上升的漏洞：
    CWE-362（使用同步不當(dāng)?shù)墓蚕碣Y源而造成并發(fā)執(zhí)行（“條件競爭”））：從第33位上升到第22位
    CWE-94（對代碼生成的控制不當(dāng)（“代碼注入”）），從第28位上升至第25位
    CWE-400（不受控制的資源耗盡），從第27位上升至第23位
    CWE-77（對命令中使用的特殊元素處理不當(dāng)（“命令注入”）），從第25位上升至第17位
    CWE-476（空指針解引用），從第15位上升至第11位

排名下降多的漏洞：
    CWE-306（關(guān)鍵功能認(rèn)證缺失）：從第11名下降到第18名
    CWE-200（將敏感信息暴露給越權(quán)方）：從第20名下降到第33名
    CWE-522（憑證保護(hù)不充分）：從第21名下降到第38名
    CWE-732（關(guān)鍵資源權(quán)限的分配不正確）：從第22名下降到第30名

新入選榜單的漏洞：
    CWE-362（使用同步不當(dāng)?shù)墓蚕碣Y源而造成并發(fā)執(zhí)行（“條件競爭”））：從第33名上升至第22名
    CWE-94（對代碼生成的控制不當(dāng)（“代碼注入”））：從第28名上升至第25名
    CWE-400（不受控制的資源耗盡）：從第27名上升至第23名

跌出Top 25榜單的漏洞：
    CWE-200（將敏感信息暴露給越權(quán)方）：從第20名下降到第33名
    CWE-522（憑證保護(hù)不充分）：從第21名下降到第38名
    CWE-732（關(guān)鍵資源權(quán)限的分配不正確）：從第22名下降到第30名

2022年榜單與2021年榜單的對比

參考鏈接：
https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html    

及時掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:互聯(lián)網(wǎng)

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明