MITRE發布了2022年度CWE Top25最危險軟件漏洞榜單。這些漏洞易于發現和利用，可導致攻擊者接管系統、竊取數據或阻止應用運作。這些漏洞潛在破壞力很大，而且在過去兩年中發布的軟件中很常見。

軟件漏洞指在軟件解決方案的代碼、架構、實現或設計中發現的缺陷、錯誤、漏洞或各種其他錯誤。他們可能會將正在運行的系統暴露在攻擊之下，從而使攻擊者能夠控制受影響的設備、訪問敏感信息或觸發拒絕服務條件。

“很多軟件從業人員會發現CWE Top 25榜單是一種實用且方便的資源，有助于降低風險，”MITRE表示。“這可能包括軟件架構師、設計師、開發人員、測試人員、用戶、項目經理、安全研究人員、教育工作者和標準開發組織(SDO)的貢獻者。”

創建CWE Top25列表時，MITRE分析了NIST的國家漏洞數據庫(NVD)和CISA的已知利用漏洞(KEV)目錄中的37,899個CVE的數據后，根據其普遍性和嚴重程度對每個漏洞進行了評分。

下表是2022 CWE Top25榜單，包括每個漏洞的總分。KEV數量(CVEs)指的是CISA KEV清單上CVE-2020/CVE-2021記錄的漏洞映射到本漏洞的數量。

榜單說明
相比2021年，該榜單發生了較為顯著的變化，比如一些漏洞的排名下降，而另一些漏洞首次現身該榜單。

榜單中位置上升的漏洞：
    CWE-362（使用同步不當的共享資源而造成并發執行（“條件競爭”））：從第33位上升到第22位
    CWE-94（對代碼生成的控制不當（“代碼注入”）），從第28位上升至第25位
    CWE-400（不受控制的資源耗盡），從第27位上升至第23位
    CWE-77（對命令中使用的特殊元素處理不當（“命令注入”）），從第25位上升至第17位
    CWE-476（空指針解引用），從第15位上升至第11位

排名下降多的漏洞：
    CWE-306（關鍵功能認證缺失）：從第11名下降到第18名
    CWE-200（將敏感信息暴露給越權方）：從第20名下降到第33名
    CWE-522（憑證保護不充分）：從第21名下降到第38名
    CWE-732（關鍵資源權限的分配不正確）：從第22名下降到第30名

新入選榜單的漏洞：
    CWE-362（使用同步不當的共享資源而造成并發執行（“條件競爭”））：從第33名上升至第22名
    CWE-94（對代碼生成的控制不當（“代碼注入”））：從第28名上升至第25名
    CWE-400（不受控制的資源耗盡）：從第27名上升至第23名

跌出Top 25榜單的漏洞：
    CWE-200（將敏感信息暴露給越權方）：從第20名下降到第33名
    CWE-522（憑證保護不充分）：從第21名下降到第38名
    CWE-732（關鍵資源權限的分配不正確）：從第22名下降到第30名

2022年榜單與2021年榜單的對比

參考鏈接：
https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html    

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:互聯網

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明