MITRE a publicat o listă cu cele mai periculoase 25 de vulnerabilități
2022 CWE Top 25 Most Dangerous Software Weaknesses conține cele mai frecvente și mai importante vulnerabilități și se bazează pe analiza a aproape 38.000 de înregistrări CVE din ultimii doi ani.
Out-of-bounds și cross-site scripting (XSS) rămân în continuare cele mai importante vulnerabilități.
Unele dintre cele mai semnificative schimbări includ race condition care trec de la 33 la 22, code injection de la 28 la 25 și uncontrolled resource consumption de la 27 la 23 – acestea sunt, de asemenea, noile tipuri de vulnerabilități care au fost incluse în lista 2022. Command injection și NULL pointer dereference au urcat, de asemenea, câteva poziții în listă.
Trei tipuri de vulnerabilități au fost eliminate față de lista din 2021: expunerea informațiilor sensibile către persoane neautorizate (a scăzut la 33), credențiale insuficient protejate (a scăzut la 38) și atribuirea incorectă a permisiunilor pentru resurse critice (a scăzut la 30).
O schimbare semnificativă în metodologia utilizată pentru a construi Top 25 CWE 2022 este legată de utilizarea datelor din Catalogul vulnerabilităților exploatate cunoscute (KEV) al CISA, pe care agenția l-a lansat în noiembrie 2021 și care include acum aproximativ 800 de defecte despre care se știe că au fost exploatate în atacuri.
Lista din acest an include, de asemenea, un „KEV count”, care reprezintă numărul de CVE-uri din 2020 și 2021 din catalog asociate cu fiecare tip de vulnerabilitate.
MITRE spune că Top 25 CWE poate ajuta mulți specialiști să atenueze riscurile, inclusiv proiectanți de software, dezvoltatori, testeri, manageri de proiect, utilizatori, educatori, cercetători în domeniul securității și cei care dezvoltă standarde.
Sursa: https://www.securityweek.com/mitre-publishes-2022-list-25-most-dangerous-vulnerabilities
