MITRE更新CWE 25个最危险的软件漏洞

MITRE 公司发布了更新的常见弱点枚举 (CWE) 前 25 个最危险软件弱点列表，以反映对抗环境的最新趋势。

2023年CWE Top 25列出了导致严重软件漏洞的更常见和有影响力的弱点，这些漏洞经常被恶意攻击利用来接管系统、窃取信息或导致拒绝服务 (DoS)。

今年排名榜首的主要变化是释放后使用漏洞类型从去年的第七位上升为第四位最危险的软件漏洞。

此外，操作系统命令注入缺陷（操作系统命令中使用的特殊元素的不当中和）上升了一位，达到第五位。

越界写入和跨站脚本 (XSS) 漏洞继续在列表中占据主导地位，其次是 SQL 注入漏洞。

除了列表中间的各种位置变化之外，值得注意的是，今年有两种漏洞类型进入了 2023 年 CWE 前 25 名，即权限管理不当（从 29 增加到 22）和授权错误（从 29 增加到 24）从28）。

不受控制的资源消耗和 XML 外部实体引用 (XXE) 的不当限制已从今年最危险的 25 个漏洞中跌出。

根据网络安全和基础设施安全局 (CISA) 的说法，2023 年 CWE Top 25 已使用该机构已知利用漏洞 (KEV) 目录中包含的最新 CVE 数据进行了更新。

“CWE Top 25 是通过分析国家漏洞数据 (NVD) 中的公共漏洞数据来计算的，以找到与前两个日历年的 CWE 弱点对应的根本原因，”CISA 解释道。

今年夏天，MITRE 计划发布有关 CWE Top 25 方法、漏洞映射趋势和其他信息的额外资源，以帮助开发人员和组织更有效地理解和使用该列表。

建议开发人员和安全团队查看 2023 年 CWE Top 25，并在可能的情况下评估和应用缓解措施。

原文始发于微信公众号（河南等级保护测评）：MITRE更新CWE 25个最危险的软件漏洞