MITRE 公布 2022 年最危险软件漏洞列表

2022年7月9日20:42:39评论94 views字数 1720阅读5分44秒阅读模式

美国非营利组织MITRE发布了 2022 年最常见和最危险的 25 个软件错误列表。

在过去两个日历年中影响软件的前 5 个错误包括：

为了创建这个列表，MITRE 根据其普遍性和严重性对每个弱点进行了评分。该组织分析了 NIST 的国家漏洞数据库 (NVD) 和 CISA 的已知利用漏洞 (KEV) 目录中的 37,899 个 CVE 的数据。

“许多处理软件的专业人士会发现 CWE Top 25 是一种实用且方便的资源，有助于降低风险，”MITRE说。

“这可能包括软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织 (SDO) 的贡献者。

MITRE 的前 25 个错误被认为是危险的，因为它们通常很容易发现，影响很大，并且在过去两年发布的软件中很普遍。

下表提供了对影响全球软件的最关键和当前的安全漏洞的洞察。

秩	ID	姓名	分数	KEV 计数 (CVE)	排名变化与 2021 年
1	CWE-787	越界写入	64.20	62	0
2	CWE-79	网页生成期间输入的不正确中和（“跨站点脚本”）	45.97	2	0
3	CWE-89	SQL 命令中使用的特殊元素的不正确中和（“SQL 注入”）	22.11	7	+3
4	CWE-20	输入验证不当	20.63	20	0
5	CWE-125	越界读取	17.67	1	-2
6	CWE-78	操作系统命令中使用的特殊元素的不正确中和（“操作系统命令注入”）	17.53	32	-1
7	CWE-416	免费后使用	15.50	28	0
8	CWE-22	路径名对受限目录的不当限制（“路径遍历”）	14.08	19	0
9	CWE-352	跨站请求伪造 (CSRF)	11.53	1	0
10	CWE-434	无限制上传危险类型文件	9.56	6	0
11	CWE-476	NULL 指针取消引用	7.15	0	+4
12	CWE-502	不可信数据的反序列化	6.68	7	+1
13	CWE-190	整数溢出或环绕	6.53	2	-1
14	CWE-287	身份验证不当	6.35	4	0
15	CWE-798	使用硬编码凭证	5.66	0	+1
16	CWE-862	缺少授权	5.53	1	+2
17	CWE-77	命令中使用的特殊元素的不正确中和（“命令注入”）	5.42	5	+8
18	CWE-306	缺少关键功能的身份验证	5.15	6	-7
19	CWE-119	内存缓冲区范围内的操作限制不当	4.85	6	-2
20	CWE-276	不正确的默认权限	4.84	0	-1
21	CWE-918	服务器端请求伪造 (SSRF)	4.27	8	+3
22	CWE-362	使用不正确同步的共享资源并发执行（“竞争条件”）	3.57	6	+11
23	CWE-400	不受控制的资源消耗	3.56	2	+4
24	CWE-611	XML 外部实体引用的不当限制	3.38	0	-1
25	CWE-94	代码生成控制不当（“代码注入”）	3.32	4	+3

每年，世界各地的网络安全机构都会不断发布威胁行为者通常利用的漏洞，并对大型企业构成重大风险。

参考链接：

https://www.bleepingcomputer.com/news/security/mitre-shares-this-years-list-of-most-dangerous-software-bugs/

https://cyware.com/news/mitre-reveals-2022-list-of-most-dangerous-software-bugs-07947201

长按添加关注，为您保驾护航！

原文始发于微信公众号（网安百色）：MITRE 公布 2022 年最危险软件漏洞列表

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

你的联网设备可能并不像想象中那么安全