MITRE组织公布了2022年CWE最危险的25个软件弱点

MITRE组织分享了2022年最常见和最危险的25个弱点名单，该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击。”

“软件弱点往往都很容易被针对，并最终会导致可利用漏洞的产品，从而让对手完全接管系统、窃取数据或让业务停摆。”MITRE在发布的公告中写道。

据悉，MITRE综合过去NIST、NVD数据，结合CVE与NVD的数据库中的危害性评分，统计了名单列表。

以下是2022年CWE前25个最危险的软件弱点名单:

具体来看该榜单的几个排名变化，有几个弱点掉出了榜单排名或首次出现在前25名的排名中。

首先榜单上最大的变动是：

CWE-362（使用共享资源的并发执行与不当的同步（“竞争条件”））从第33位上升到第22位； CWE-94（“代码注入”）从第28位上升到第25位； CWE-400(不受控制的资源消耗)从第27位上升到第23位； CWE-77 （“命令注入”）从第25位上升到第17位; CWE-476（空指针间接引用）则从第15位上升到第11位。

而下降幅度最大的是：

CWE-306（关键功能认证缺失）从第11位降低到第18位； CWE-200 （将敏感信息暴露给未经授权的行为者）从第20位降低到第33位； CWE-522（凭证保护不足）从第21位下降到第38位； 最后一个是CWE-732（关键资源的权限分配不正确）从第22名降低至第30名。

有三条新进入到前25名的条目，它们是：

CWE-362 (使用共享资源的并发执行与不当的同步（“竞争条件”）)从第33位升至第22位： CWE-94 (“代码注入”)从第28名上升至第25名 CWE-400 (不受控制的资源消耗)则是从第27名上升到第23名

相对的也有三条条目跌出前25名，它们是：

CWE-200（将敏感信息暴露给未经授权的行为者）从第20位降至第33位； CWE-522 (凭证保护不足)从第21位降至第38位； CWE-732（关键资源的不正确权限分配）从第22位到第30位。

精彩推荐