MITRE 公布2024年最严重的25个软件弱点
2024-11-22 16:14:0 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

MITRE 从2023年6月至2024年7月披露的超过3.1万个漏洞中,选出2024年25个最常见且危险的软件弱点。

软件弱点是指从软件代码、架构、实现或设计中找到的缺陷、bug、漏洞和错误。攻击者可利用这些弱点攻陷易受攻击软件在运行的系统,获得对受影响设备的控制以及访问敏感数据或触发拒绝服务攻击。

MITRE 指出,“这些弱点通常易于发现和利用,可引发易受攻击的漏洞,使攻击者完全控制系统、窃取数据或阻止应用工作。找到这些漏洞的根因可为阻止这些漏洞发生的投资、政策和实践提供强大的指南,对行业行业和政府利益相关者都带来益处。”

为了发布今年的榜单,MITRE 分析了31770个CVE漏洞,基于严重性和频率对其进行评分。数据以2023到2024年期间CISA发布的必修清单 KEV为基础,而”重映射分析“有助于对漏洞优先级进行排序。

CISA提到,“该年度榜单找到攻击者高频率利用以攻陷系统、窃取敏感数据或破坏关键服务的最严重软件弱点。强烈建议组织机构查看该清单并知会软件安全策略。对开发和采购流程中的这些弱点进行优先级排序有助于从软件生命周期的核心阻止漏洞。”

排名

编号

名称

分数

纳入KEV 的CVE数量

排名变动

1

CWE-79

跨站脚本

56.92

3

+1

2

CWE-787

界外写

45.20

18

-1

3

CWE-89

SQL 注入

35.88

4

0

4

CWE-352

跨站请求伪造 (CSRF)

19.57

0

+5

5

CWE-22

路径遍历

12.74

4

+3

6

CWE-125

界外读

11.42

3

+1

7

CWE-78

OS 命令注入

11.30

5

-2

8

CWE-416

释放后使用

10.19

5

-4

9

CWE-862

授权缺失

10.11

0

+2

10

CWE-434

具有危险类型文件的不受限上传

10.03

0

0

11

CWE-94

代码注入

7.13

7

+12

12

CWE-20

输入验证不当

6.78

1

-6

13

CWE-77

命令注入

6.74

4

+3

14

CWE-287

认证不当

5.94

4

-1

15

CWE-269

权限管理不当

5.22

0

+7

16

CWE-502

可信数据反序列化

5.07

5

-1

17

CWE-200

敏感信息遭越权暴露

5.07

0

+13

18

CWE-863

授权不正确

4.05

2

+6

19

CWE-918

服务器端请求伪造 (SSRF)

4.05

2

0

20

CWE-119

内存缓冲区边界操作不当

3.69

2

-3

21

CWE-476

空指针解引用

3.58

0

-9

22

CWE-798

使用硬编码凭据

3.46

2

-4

23

CWE-190

整数上溢或环绕

3.37

3

-9

24

CWE-400

资源耗尽不受限

3.23

0

+13

25

CWE-306

关键函数认证缺失

2.73

5

-5

CISA 还发布“设计安全”提醒,强调了尽管存在可用和有效的缓解措施,但尚未被消除的广为人知和已记录漏洞的的普遍性。CISA 一直在对正在进行的恶意活动进行响应,如7月针对黑客攻击思科、Palo Alto 和 Ivanti 网络边缘设备,要求厂商消除路径OS命令注入漏洞。在5月和3月,CISA 发布两份“安全设计”告警,督促技术管理层和软件开发人员阻止产品和代码中的路径遍历和SQLi漏洞。CISA还督促技术厂商停止交付具有默认密码的软件和设备,SOHO 路由器厂商抵御攻击。

上周,FBI、NSA和五眼联盟网络安全机构发布去年15大最常遭利用的安全漏洞清单,提醒攻击者专门攻击0day漏洞。它们提醒称,“2023年,大部分最常遭利用的漏洞遭利用时是0day漏洞状态,而2022年这些漏洞的数量不到一半。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com


推荐阅读

MITRE 发布 ATT&CK v14,改进检测、ICS和移动内容

MITRE 发布2023 CWE Top 25 榜单

MITRE 发布2022 CWE Top 25 榜单

Formidable 项目开发人员驳斥:MITRE 发的这个CVE漏洞纯属“碰瓷”

原文链接

https://www.bleepingcomputer.com/news/security/mitre-shares-2024s-top-25-most-dangerous-software-weaknesses/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247521564&idx=1&sn=276695070e4ac7650f6b447dc191e2d6&chksm=ea94a476dde32d608a7e74ca206c1c3e90cf6852c23726084a5c3022baef63173b2b2b6a9f19&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh