美国非营利组织MITRE发布了 2022 年最常见和最危险的 25 个软件错误列表。
前五个错误
在过去两个日历年中影响软件的前 5 个错误包括:
-
CWE-787:越界写入,KEV 计数(CVE):62
-
CWE-79:跨站点脚本,KEV 计数(CVE):02
-
CWE-89:SQL 注入,KEV 计数(CVE):07
-
CWE-20:输入验证不当,KEV 计数(CVE):20
-
CWE-125:越界读取,KEV 计数(CVE):01
为了创建这个列表,MITRE 根据其普遍性和严重性对每个弱点进行了评分。该组织分析了 NIST 的国家漏洞数据库 (NVD) 和 CISA 的已知利用漏洞 (KEV) 目录中的 37,899 个 CVE 的数据。
“许多处理软件的专业人士会发现 CWE Top 25 是一种实用且方便的资源,有助于降低风险,”MITRE说。
“这可能包括软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织 (SDO) 的贡献者。
MITRE 的前 25 个错误被认为是危险的,因为它们通常很容易发现,影响很大,并且在过去两年发布的软件中很普遍。
下表提供了对影响全球软件的最关键和当前的安全漏洞的洞察。
秩 | ID | 姓名 | 分数 | KEV 计数 (CVE) | 排名变化与 2021 年 |
---|---|---|---|---|---|
1 | CWE-787 | 越界写入 | 64.20 | 62 | 0 |
2 | CWE-79 | 网页生成期间输入的不正确中和(“跨站点脚本”) | 45.97 | 2 | 0 |
3 | CWE-89 | SQL 命令中使用的特殊元素的不正确中和(“SQL 注入”) | 22.11 | 7 | +3 |
4 | CWE-20 | 输入验证不当 | 20.63 | 20 | 0 |
5 | CWE-125 | 越界读取 | 17.67 | 1 | -2 |
6 | CWE-78 | 操作系统命令中使用的特殊元素的不正确中和(“操作系统命令注入”) | 17.53 | 32 | -1 |
7 | CWE-416 | 免费后使用 | 15.50 | 28 | 0 |
8 | CWE-22 | 路径名对受限目录的不当限制(“路径遍历”) | 14.08 | 19 | 0 |
9 | CWE-352 | 跨站请求伪造 (CSRF) | 11.53 | 1 | 0 |
10 | CWE-434 | 无限制上传危险类型文件 | 9.56 | 6 | 0 |
11 | CWE-476 | NULL 指针取消引用 | 7.15 | 0 | +4 |
12 | CWE-502 | 不可信数据的反序列化 | 6.68 | 7 | +1 |
13 | CWE-190 | 整数溢出或环绕 | 6.53 | 2 | -1 |
14 | CWE-287 | 身份验证不当 | 6.35 | 4 | 0 |
15 | CWE-798 | 使用硬编码凭证 | 5.66 | 0 | +1 |
16 | CWE-862 | 缺少授权 | 5.53 | 1 | +2 |
17 | CWE-77 | 命令中使用的特殊元素的不正确中和(“命令注入”) | 5.42 | 5 | +8 |
18 | CWE-306 | 缺少关键功能的身份验证 | 5.15 | 6 | -7 |
19 | CWE-119 | 内存缓冲区范围内的操作限制不当 | 4.85 | 6 | -2 |
20 | CWE-276 | 不正确的默认权限 | 4.84 | 0 | -1 |
21 | CWE-918 | 服务器端请求伪造 (SSRF) | 4.27 | 8 | +3 |
22 | CWE-362 | 使用不正确同步的共享资源并发执行(“竞争条件”) | 3.57 | 6 | +11 |
23 | CWE-400 | 不受控制的资源消耗 | 3.56 | 2 | +4 |
24 | CWE-611 | XML 外部实体引用的不当限制 | 3.38 | 0 | -1 |
25 | CWE-94 | 代码生成控制不当(“代码注入”) | 3.32 | 4 | +3 |
错误如何损害系统?
-
软件错误可能成为将它们运行的系统暴露于攻击的媒介。
-
这可能使威胁参与者能够控制受影响的设备,并获得对敏感信息的访问权限。
错误的影响
-
MITRE 列表中提到的前 25 个错误被认为是非常关键的,因为它们通常很容易发现,具有很高的影响,并且在过去两年发布的软件中很普遍。
-
属于软件弱点类别的错误还包括在软件解决方案的代码、架构、实现或设计中广泛存在的缺陷、漏洞和各种其他错误。
结论
每年,世界各地的网络安全机构都会不断发布威胁行为者通常利用的漏洞,并对大型企业构成重大风险。
参考链接:
https://www.bleepingcomputer.com/news/security/mitre-shares-this-years-list-of-most-dangerous-software-bugs/
https://cyware.com/news/mitre-reveals-2022-list-of-most-dangerous-software-bugs-07947201
长按添加关注,为您保驾护航!
原文始发于微信公众号(网安百色):MITRE 公布 2022 年最危险软件漏洞列表
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论