聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
MITRE 发布2022年度CWE Top 25 最危险的软件弱点榜单。该榜单发布了当前最常见和最具影响力的软件弱点。这些弱点易于发现和利用,可导致攻击者完全接管系统、窃取数据或阻止应用运作。
如下是2022 CWE Top 25 榜单,包括每个漏洞的总分。KEV 数量 (CVEs) 指的是CISA KEV 清单上 CVE-2020/CVE-2021 映射到既定弱点的映射。
要点说明
相比去年,该榜单发生了较为显著的变化,比如一些弱点的排名下降,而一些弱点首次现身该榜单。
榜单中位置上升的弱点是:
CWE-362(使用同步不当的共享资源而造成并发执行(“条件竞争”)):从第33位上升到第22位
CWE-94(对代码生成的控制不当(“代码注入”)),从第28位上升至第25位
CWE-400(不受控制的资源耗尽),从第27位上升至第23位
CWE-77(对命令中使用的特殊元素处理不当(“命令注入”)),从第25位上升至第17位
CWE-476(空指针解引用),从第15位上升至第11位
排名下降最多的是:
CWE-306(关键功能认证缺失):从第11名下降到第18名
CWE-200(将敏感信息暴露给越权方):从第20名下降到第33名
CWE-522(凭证保护不充分):从第21名下降到第38名
CWE-732(关键资源权限的分配不正确):从第22名下降到第30名
新入选榜单的弱点是:
CWE-362(使用同步不当的共享资源而造成并发执行(“条件竞争”)):从第33名上升至第22名
CWE-94(对代码生成的控制不当(“代码注入”)):从第28名上升至第25名
CWE-400(不受控制的资源耗尽):从第27名上升至第23名
跌出Top 25榜单的弱点是:
CWE-200(将敏感信息暴露给越权方):从第20名下降到第33名
CWE-522(凭证保护不充分):从第21名下降到第38名
CWE-732(关键资源权限的分配不正确):从第22名下降到第30名
完整的榜单对比如下图所示。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
模拟最大黑客组织 FIN6 的行为,MITRE 免费助力网络安全防御
Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属“碰瓷”
原文链接
https://cwe.mitre.org/top25/archive/2022/2022_cwe_top25.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~