MITRE组织公布了2022年CWE最危险的25个软件漏洞“如果公司的基础设施涉及相关漏洞,它可能会受到未知黑客的攻击。”MITRE在发布的一份声明中写道:“软件弱点往往很容易成为目标,并最终导致可利用的产品,让对手完全接管系统并窃取数据或关闭业务。”据悉,MITRE综合了过去的NIST和NVD数据,结合CVE和NVD数据库中的hazardscores,整理出榜单,以下是CWE2022年Top25mostdangeroussoftwareweaknesss的榜单:具体来说,看榜单的几个排名变化,有几个弱点掉了或首次进入前25名。首先,榜单中变化最大的是:CWE-362(ConcurrentExecutionUsingSharedResourcesandImproperSynchronization(“RaceConditions”))从第33位上升到第1位。.22;CWE-94(“代码注入”)从第28位上升到第25位;CWE-400(不受控制的资源消耗)从第27位上升到第23位;CWE-77(“命令注入”)从第25位上升到第17位;CWE-476(空指针间接引用)从第15位上升到第11位。跌幅最大的是:CWE-306(缺少关键功能的身份验证)从第11位到第18位;CWE-200(向未经授权的行为者暴露敏感信息)从第20位降至第33位CWE-522(凭证保护不足)从第21位降至第38位;最后,CWE-732(关键资源的不正确权限分配)从第22位下降到第30位。前25名中有三个新条目:CWE-362(并发执行和不正确的同步(“竞争条件”)使用共享资源)从第33位移动到第22位:CWE-94(“代码注入”)从第28至第25位的CWE-400(不受控制的资源消耗)从第27位上升到第23位。相对地,有3个条目跌出了前25位。它们是:CWE-200(将敏感信息暴露给未经授权的行为者)从第20位下降到第33位;CWE-522(凭证保护不足)从第21位下降到第38位;CWE-732(关键资源保护不当,正确的权限分配)从第22位下降到第30位。
