2022年6月28日,MITRE发布了2022 常见软件缺陷(CWE)前25个最危险的软件漏洞列表。该列表展示了当前最常见和最有影响力的漏洞。这些漏洞极其容易被发现利用,并可能导致攻击者完全接管系统、窃取数据或阻止应用程序运行等。CWE Top 25 能够为软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织(SDO)等专业人士提供实用且方便的资源,深入了解当前最严重的安全漏洞类型。
CWE团队根据美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)中的常见漏洞和暴露(CVE)数据以及与每个CVE相关的常见漏洞评分系统(CVSS)分数记录,包括关注网络安全和基础设施安全局(CISA)已知利用漏洞(KEV)目录中的CVE记录。CWE Top 25对数据应用了一个公式,以根据感染率和严重程度对每个漏洞进行评分。为计算2022 top 25 二分细的数据集包含了前两个日历年的总共37899条CVE记录。
以下是2022 CWE Top 25中的缺陷列表,包括每个缺陷的总分。KEV计数(CVE)显示CISA KEV列表中映射到给定漏洞的CVE-2020/CVE-2021记录的数量。
![2022 CWE Top 25年度常见软件漏洞榜单]( "2022 CWE Top 25年度常见软件漏洞榜单")
CWE-362(竞争条件):排名从 #33 到 #22
CWE-94(代码注入):排名从 #28 到 #25
CWE-400(不受控制的资源消耗):排名从 #27 到 #23
CWE-200(将敏感信息暴露给未授权的行为者):排名从 #20 到 #33
CWE-522(凭据保护不足):排名从 #21 到 #38
CWE-362(竞争条件):排名从 #33 到 #22
CWE-94(代码注入):排名从 #28 到 #25
CWE-400(不受控制的资源消耗):排名从 #27 到 #23
CWE-77(命令注入):排名从 #25 到 #17
CWE-476(空指针取消引用):排名从 #15 到 #11
CWE-306(缺少关键功能的身份验证):排名从 #11 到 #18
CWE-200(将敏感信息暴露给未授权的行为者):排名从 #20 到 #33
CWE-522(凭据保护不足):排名从 #21 到 #38
CWE-732(关键资源的权限分配不当):排名从 #22 到 #30
NVD数据库中的2022 CWE Top 25缺陷条目计数如下表:
下表显示了2022年CVE Top25以及相关评分细心,包括NVD数据集中与特定CWE相关的条目书,以及映射到特定缺陷的每个漏洞的平均CVSS分数。
![2022 CWE Top 25年度常见软件漏洞榜单]( "2022 CWE Top 25年度常见软件漏洞榜单")
根据评分公式,以下缺陷不够严重或不够普遍,无法列入2022 Top 25 CWE列表。
使用2022 CWE Top 25列表执行缓解和风险决策的个人应考虑在分析中包括Top 25之后的额外缺陷。在某些适当情况下,所有缺陷都可能成为可利用的漏洞。
![2022 CWE Top 25年度常见软件漏洞榜单]( "2022 CWE Top 25年度常见软件漏洞榜单")
2022 CWE Top 26-40缺陷列表
CWE-732(关键资源的权限分配不正确):从#22 到 #30
CWE-200(将敏感信息暴露给未经授权的行为者):从#20 到 #33
CWE-522(凭证保护不足):从 #21 到 #38
CWE-668(资源暴露于错误的领域):从 #53 到 #32,目前上升原因尚不清楚,因为 这是一个经典等级缺陷。
CWE-312(敏感信息的明文存储):从 #41 到 #40
CWE-1321(对象原型属性的不当控制修改(“原型污染”)):新列于 #34 ,该缺陷最近被添加到 CWE 和 NVD View-1003。
以下缺陷在2021年位列排名,2022年退出排名:
CWE-770(无限制或节流的资源分配):从 #40 到 #42
CWE-532(将敏感信息插入日志文件):从 #39到 #49
CWE-917(表达式语言语句中使用的特殊元素的不当中和(“表达式语言注入”)):从 #30 到 #55
https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html
原文始发于微信公众号(山石网科安全技术研究院):2022 CWE Top 25年度常见软件漏洞榜单
评论