CISA和MITER的最新CWE Chaphup揭示了当今影响企业软件的最严重威胁
米特(Miter)发布了2022 CWE最危险的软件错误列表,强调企业仍然面临一系列必须保护的常见弱点,这些弱点必须受到剥削。
2022年共同的弱点枚举(CWE)上周公开了最危险的软件弱点列表。CWE前25名是由CISA赞助并由Miter运营的国土安全系统工程和开发研究所的工作。
该列表试图为开发人员,研究人员和高管提供综合指南,以优先考虑和减轻有关可利用软件问题的风险。
这CWE前25名列表使用NIST国家漏洞数据库(NVD)中CVE数据的数据点,分配给新CVE记录的共同漏洞评分系统(CVSS)分数以及来自CISA已知剥削漏洞(KEV)目录中的信息。
“通常很容易找到和利用,这些可能会导致可利用的漏洞,使对手能够完全接管系统,窃取数据或防止应用程序工作,”CISA说。
CWE前25名 - 搬家和振动者
今年的提交包含过去两年收集的37,899个CVE记录。列表中包含的十大软件问题如下:
- CWE-787- 外面写作
- CWE-79- 网页生成期间输入的中和不正确(beplay体育能用吗跨站脚本)
- CWE-89- SQL命令中使用的特殊元素的中和不正确(SQL注入)
- CWE-20- 输入验证不正确
- CWE-125- 越野读
- CWE-78- OS命令中使用的特殊元素的中和不正确(OS命令注射)
- CWE-416- 免费使用
- CWE-22- 对路径名的不当限制到限制目录(路径遍历)
- CWE-352-跨站点伪造((CSRF)
- CWE-434- 不受限制地上传危险类型的文件
在前十大最危险的软件弱点中的搬运工和振动器中,Miter与2021年相比,SQL注入风险增加了三个位置。指挥注射检测和严重程度下降了。
目前排在第11位的是NULL指针解除,这是指指针期望有效但会导致应用程序崩溃或退出时发生的。自2021年以来,这已经占据了四个位置,我们可能希望这种软件漏洞如果继续攀升,将在未来列表中获得前十名。
身份验证问题持续存在
验证授权问题继续困扰着前25名列表,出现不当身份验证,缺少授权和使用硬编码的凭据。
但是,似乎企业似乎开始更加重视数据保护。
例如,将敏感信息暴露于未经授权的人已从数字下降到33;凭证保护不足已从第20位转移到第22位,而对关键资源的权限不正确分配已从数字22转移到30个。
进入前25名的新条目包括CWE-362,种族条件,从现场33移至22;CWE-94,代码注射,从数字28到25;和CWE-400,不受控制的资源消耗,从点27到23。
根据Miter的说法,从班级或“抽象”弱点基础水平问题“通常与特定语言,技术或资源组相关联”。
“借助我们所有人周围的病毒,网络钓鱼和数据盗窃,网络安全威胁可能会导致业务运营的巨大中断beplay体育能用吗恶意软件感染网络能够删除数据或将其保留给赎金。”网络安全公司ESET的全球网络安全顾问Jake Moore说。
“企业必须遵循简单但有效的标准,例如确保所有设备和软件都是最新的,可以实现多因素身份验证,并创建离线和在线备份(更不用说测试它们),以准备最终的最终性。”
每日swbeplay2018官网ig已经与MITER联系了,我们将在听到回来时进行更新。
