MITRE 最近发布了2024 年 CWE 25 个最危险软件漏洞年度榜单,基于 2023 年 6 月 1 日至 2024 年 6 月 1 日期间发布的 31,779 个常见漏洞和暴露 (CVE) 的记录数据集。
该榜单不同最常见漏洞榜单,因为它不是一份漏洞榜单,而是一份可被利用漏洞的系统设计中的弱点榜单。MITRE 的 CVE 和 CWE 项目负责人 Alec Summers 表示:“从定义上讲,代码注入是一种攻击,当我们思考 Top 25 时,就是在识别其背后的弱点。”
这些弱点可能会为漏洞和攻击铺平道路,因此意识到这些弱点并尽可能地减轻它们的影响非常重要。解决这些弱点不仅可以提高产品安全性,而且还可以节省公司的成本,因为“我们在产品开发中避免的弱点越多,部署后需要管理的漏洞就越少”。
公告称,2024 年的 CWE Top 25 引入了新方法,从而导致榜单排名与去年相比发生了许多变化。其中只有三个的排名与去年保持相同:
- CWE-89:SQL 命令中使用特殊元素的不当中和(“SQL 注入”),排名第 3
- CWE-434:无限制上传危险类型的文件,排名第 10
- CWE-918:服务器端请求伪造 (SSRF),排名第 19
榜单上排名大幅上升的有:
- CWE-352:跨站请求伪造 (CSRF),排名从第 9 位上升至第 4 位
- CWE-94:代码生成控制不当(“代码注入”),排名从第 23 位上升至第 11 位
- CWE-269:不当权限管理,从第 22 位上升至第 15 位
- CWE-863:授权错误,从第 24 位上升至第 18 位
跌幅最大的是:
- CWE-20:输入验证不当,从第 6 位下降至第 12 位
- CWE-476:NULL 指针解引用,从第 12 位下降到第 21 位
- CWE-190:整数溢出或环绕,从第 14 位下降到第 23 位
- CWE-306:缺少 Critical Function 的认证,从第 20 位下降到第 25 位
进入前 25 名的有:
- CWE-400:不受控制的资源消耗,从第 37 位上升至第 24 位
- CWE-200:向未经授权的行为者泄露敏感信息,排名从第 30 位上升至第 17 位
跌出前 25 名的有:
- CWE-362:使用共享资源并发执行不当同步(“竞争条件”),从第 21 位下降到第 34 位
- CWE-276:默认权限不正确,从第 25 位下降到第 36 位
更多详情可查看完整榜单:https://cwe.mitre.org/top25/archive/2024/2024_key_insights.html