MITRE 发布了 2024 年 25 大最危险软件漏洞年度列表,重点介绍了对全球软件系统构成重大风险的严重漏洞。
该列表是与网络安全和基础设施安全局 (CISA) 合作开发的,对于旨在加强网络安全防御的开发人员、安全专业人员和组织来说是一项重要资源。
2024 年 CWE Top 25 列表确定了与超过 31,770 个常见漏洞和暴露 (CVE) 记录相关的最严重和最普遍的软件弱点。
攻击者经常利用这些漏洞来破坏系统、窃取敏感数据或破坏基本服务。该列表基于对 2023 年 6 月至 2024 年 6 月 CVE 记录的分析,重点关注CISA 已知被利用漏洞 (KEV)目录中包含的漏洞。
十大最危险的软件漏洞
根据 MITRE 的数据,下表列出了 2024 年最危险的 25 个软件漏洞:
| 序号 | 弱点名称 | 中央能源识别号 | 分数 | KEV 中的 CVE | 改变 |
|---|---|---|---|---|---|
| 1 | 跨站点脚本 | CWE-79 | 56.92 | 3 | +1 |
| 2 | 越界写入 | CWE-787 | 45.20 | 18 | -1 |
| 3 | SQL 注入 | CWE-89 | 35.88 | 4 | 0 |
| 4 | 跨站请求伪造 (CSRF) | CWE-352 | 19.57 | 0 | +5 |
| 5 | 路径遍历 | CWE-22 | 12.74 | 4 | +3 |
| 6 | 越界阅读 | CWE-125 | 11.42 | 3 | +1 |
| 7 | 操作系统命令注入 | CWE-78 | 11.30 | 5 | -2 |
| 8 | 免费后使用 | CWE-416 | 10.19 | 5 | -4 |
| 9 | 缺少授权 | CWE-862 | 10.11 | 0 | +2 |
| 10 | 无限制上传危险类型文件 | CWE-434 | 10.03 | 0 | 0 |
| 11 | 代码注入 | CWE-94 | 7.13 | 7 | +12 |
| 12 | 不正确的输入验证 | CWE-20 | 6.78 | 1 | -6 |
| 13 | 命令注入 | CWE-77 | 6.74 | 4 | +3 |
| 14 | 身份验证不当 | CWE-287 | 5.94 | 4 | -1 |
| 15 | 权限管理不当 | CWE-269 | 5.22 | 0 | +7 |
| 16 | 不受信任数据的反序列化 | CWE-502 | 5.07 | 5 | -1 |
| 17 | 敏感信息暴露给未经授权的行为者 | CWE-200 | 5.07 | 0 | +13 |
| 18 | 授权不正确 | CWE-863 | 4.05 | 2 | +6 |
| 19 | 服务器端请求伪造(SSRF) | CWE-918 | 4.05 | 2 | 0 |
| 20 | 内存缓冲区边界内的操作限制不当 | CWE-119 | 3.69 | 2 | -3 |
| 21 | 空指针取消引用 | CWE-476 | 3.58 | 0 | -9 |
| 22 | 使用硬编码凭证 | CWE-798 | 3.46 | 2 | -4 |
| 23 | 整数溢出或回绕 | CWE-190 | 3.37 | 3 | -9 |
| 24 | 不受控制的资源消耗 | CWE-400 | 3.23 | 0 | +13 |
| 25 | 缺少关键功能的身份验证 | CWE-306 | 2.73 | 5 | -5 |
该表全面概述了前 25 个软件弱点,包括它们的 CWE ID、分数、已知利用漏洞 (KEV) 目录中的 CVE 数量以及与上一年相比的排名变化。
CWE Top 25 列表对于指导安全投资和政策具有重要意义。通过了解这些漏洞的根本原因,组织可以实施策略来防止它们发生。
这种主动方法减少了部署后修复的需要,从而增强了安全性并节省了成本。
鼓励组织将 CWE Top 25 纳入其软件开发生命周期和采购流程。通过优先考虑这些弱点,公司可以降低风险并展示对网络安全的承诺,从而增强客户信任。
采用安全设计实践对于开发人员和安全团队来说至关重要。这涉及在软件开发的每个阶段纳入安全措施,以防止引入漏洞。
随着网络威胁的不断演变,了解最危险的软件漏洞对于维护强大的网络安全防御至关重要。2024 年 CWE Top 25 榜单为应对这些挑战和保护关键系统免遭攻击提供了战略框架。
|
— 欢迎关注
|
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论