官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
MITRE组织分享了2022年最常见和最危险的25个弱点名单,该名单可以帮助企业评估企业基础设施的安全情况,MITRE表示:“如果企业的基础设施涉及相关的漏洞弱点,就可能受到未知黑客的攻击。”
“软件弱点往往都很容易被针对,并最终会导致可利用漏洞的产品,从而让对手完全接管系统、窃取数据或让业务停摆。”MITRE在发布的公告中写道。
据悉,MITRE综合过去NIST、NVD数据,结合CVE与NVD的数据库中的危害性评分,统计了名单列表。
以下是2022年CWE前25个最危险的软件弱点名单:
排名 | ID | 名称 | 得分 | 发现漏洞数 | 与2021年的排名变化 |
1 | CWE-787 | 越界写入 | 64.2 | 62 | 0 |
2 | CWE-79 | 网页生成过程中不正确地中和输入 ("跨站脚本") | 45.97 | 2 | 0 |
3 | CWE-89 | 在SQL命令中使用的 特殊元素的不当中和("SQL注入") | 22.11 | 7 | +3 |
4 | CWE-20 | 不当的输入验证 | 20.63 | 20 | 0 |
5 | CWE-125 | 界外读取 | 17.67 | 1 | -2 |
6 | CWE-78 | 操作系统命令中使用的特殊元素的不当中和("操作系统命令注入") | 17.53 | 32 | -1 |
7 | CWE-416 | 内存破坏漏洞 | 15.50 | 28 | 0 |
8 | CWE-22 | 对受限目录路径名的不适当限制 ("路径穿越") | 14.08 | 19 | 0 |
9 | CWE-352 | 跨站请求伪造(CSRF) | 11.53 | 1 | 0 |
10 | CWE-434 | 不受限上传危险类型的文件 | 9.56 | 6 | 0 |
11 | CWE-476 | 空指针间接引用 | 7.15 | 0 | +4 |
12 | CWE-502 | 不可信数据的反序列化 | 6.68 | 7 | +1 |
13 | CWE-190 | 整数溢出或绕行 | 6.53 | 2 | -1 |
14 | CWE-287 | 危险认证 | 6.35 | 4 | 0 |
15 | CWE-798 | 使用硬编码的凭证 | 5.66 | 0 | +1 |
16 | CWE-862 | 缺少授权 | 5.53 | 1 | +2 |
17 | CWE-77 | “命令注入” | 5.42 | 5 | +8 |
18 | CWE-306 | 关键功能的认证机制缺失 | 5.15 | 6 | -7 |
19 | CWE-119 | 对内存缓冲区范围内的操作限制不当 | 4.85 | 6 | -2 |
20 | CWE-276 | 默认权限不正确 | 4.84 | 0 | -1 |
21 | CWE-918 | 服务器端请求伪造(SSRF) | 4.27 | 8 | +3 |
22 | CWE-362 | 使用共享资源的并发执行与不当的同步("竞争条件") | 3.57 | 6 | +11 |
23 | CWE-400 | 不受控制的资源消耗 | 3.56 | 2 | +4 |
24 | CWE-611 | 对XML外部实体引用的不当限制 | 3.38 | 0 | -1 |
25 | CWE-94 | “代码注入” | 3.32 | 4 | +3 |
具体来看该榜单的几个排名变化,有几个弱点掉出了榜单排名或首次出现在前25名的排名中。
首先榜单上最大的变动是:
CWE-362(使用共享资源的并发执行与不当的同步(“竞争条件”))从第33位上升到第22位;
CWE-94(“代码注入”)从第28位上升到第25位;
CWE-400(不受控制的资源消耗)从第27位上升到第23位;
CWE-77 (“命令注入”)从第25位上升到第17位;
CWE-476(空指针间接引用)则从第15位上升到第11位。
而下降幅度最大的是:
CWE-306(关键功能认证缺失)从第11位降低到第18位;
CWE-200 (将敏感信息暴露给未经授权的行为者)从第20位降低到第33位;
CWE-522(凭证保护不足)从第21位下降到第38位;最后一个是CWE-732(关键资源的权限分配不正确)从第22名降低至第30名。
有三条新进入到前25名的条目,它们是:
CWE-362 (使用共享资源的并发执行与不当的同步(“竞争条件”))从第33位升至第22位:
CWE-94 (“代码注入”)从第28名上升至第25名
CWE-400 (不受控制的资源消耗)则是从第27名上升到第23名
相对的也有三条条目跌出前25名,它们是:
CWE-200(将敏感信息暴露给未经授权的行为者)从第20位降至第33位;
CWE-522 (凭证保护不足)从第21位降至第38位;
CWE-732(关键资源的不正确权限分配)从第22位到第30位。