MITRE 公布 2022 年最危险软件漏洞列表

admin 2022年7月9日20:42:39安全新闻评论9 views1720字阅读5分44秒阅读模式
MITRE 公布 2022 年最危险软件漏洞列表


美国非营利组织MITRE发布了 2022 年最常见和最危险的 25 个软件错误列表

 

前五个错误

在过去两个日历年中影响软件的前 5 个错误包括:

  • CWE-787:越界写入,KEV 计数(CVE):62

  • CWE-79:跨站点脚本,KEV 计数(CVE):02

  • CWE-89:SQL 注入,KEV 计数(CVE):07

  • CWE-20:输入验证不当,KEV 计数(CVE):20

  • CWE-125:越界读取,KEV 计数(CVE):01


为了创建这个列表,MITRE 根据其普遍性和严重性对每个弱点进行了评分。该组织分析了 NIST 的国家漏洞数据库 (NVD) 和 CISA 的已知利用漏洞 (KEV) 目录中的 37,899 个 CVE 的数据。

“许多处理软件的专业人士会发现 CWE Top 25 是一种实用且方便的资源,有助于降低风险,”MITRE

“这可能包括软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织 (SDO) 的贡献者。

MITRE 的前 25 个错误被认为是危险的,因为它们通常很容易发现,影响很大,并且在过去两年发布的软件中很普遍。

下表提供了对影响全球软件的最关键和当前的安全漏洞的洞察。

ID 姓名 分数 KEV 计数 (CVE) 排名变化与 2021 年
1 CWE-787 越界写入 64.20 62 0
2 CWE-79 网页生成期间输入的不正确中和(“跨站点脚本”) 45.97 2 0
3 CWE-89 SQL 命令中使用的特殊元素的不正确中和(“SQL 注入”) 22.11 7 +3
4 CWE-20 输入验证不当 20.63 20 0
5 CWE-125 越界读取 17.67 1 -2
6 CWE-78 操作系统命令中使用的特殊元素的不正确中和(“操作系统命令注入”) 17.53 32 -1
7 CWE-416 免费后使用 15.50 28 0
8 CWE-22 路径名对受限目录的不当限制(“路径遍历”) 14.08 19 0
9 CWE-352 跨站请求伪造 (CSRF) 11.53 1 0
10 CWE-434 无限制上传危险类型文件 9.56 6 0
11 CWE-476 NULL 指针取消引用 7.15 0 +4
12 CWE-502 不可信数据的反序列化 6.68 7 +1
13 CWE-190 整数溢出或环绕 6.53 2 -1
14 CWE-287 身份验证不当 6.35 4 0
15 CWE-798 使用硬编码凭证 5.66 0 +1
16 CWE-862 缺少授权 5.53 1 +2
17 CWE-77 命令中使用的特殊元素的不正确中和(“命令注入”) 5.42 5 +8
18 CWE-306 缺少关键功能的身份验证 5.15 6 -7
19 CWE-119 内存缓冲区范围内的操作限制不当 4.85 6 -2
20 CWE-276 不正确的默认权限 4.84 0 -1
21 CWE-918 服务器端请求伪造 (SSRF) 4.27 8 +3
22 CWE-362 使用不正确同步的共享资源并发执行(“竞争条件”) 3.57 6 +11
23 CWE-400 不受控制的资源消耗 3.56 2 +4
24 CWE-611 XML 外部实体引用的不当限制 3.38 0 -1
25 CWE-94 代码生成控制不当(“代码注入”) 3.32 4 +3



错误如何损害系统?

  • 软件错误可能成为将它们运行的系统暴露于攻击的媒介。

  • 这可能使威胁参与者能够控制受影响的设备,并获得对敏感信息的访问权限。

 

错误的影响

  • MITRE 列表中提到的前 25 个错误被认为是非常关键的,因为它们通常很容易发现,具有很高的影响,并且在过去两年发布的软件中很普遍。

  • 属于软件弱点类别的错误还包括在软件解决方案的代码、架构、实现或设计中广泛存在的缺陷、漏洞和各种其他错误。


结论

每年,世界各地的网络安全机构都会不断发布威胁行为者通常利用的漏洞,并对大型企业构成重大风险。

参考链接:

https://www.bleepingcomputer.com/news/security/mitre-shares-this-years-list-of-most-dangerous-software-bugs/

https://cyware.com/news/mitre-reveals-2022-list-of-most-dangerous-software-bugs-07947201

MITRE 公布 2022 年最危险软件漏洞列表
MITRE 公布 2022 年最危险软件漏洞列表

长按添加关注,为您保驾护航!



原文始发于微信公众号(网安百色):MITRE 公布 2022 年最危险软件漏洞列表

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月9日20:42:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  MITRE 公布 2022 年最危险软件漏洞列表 http://cn-sec.com/archives/1169162.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: