Os especialistas do MITRE publicaram uma lista dos 25 bugs mais perigosos em software nos últimos dois anos. Incluía uma variedade de deficiências, incluindo vulnerabilidades e erros no código, arquitetura, implementação e design do software.
Listas de amor de algumas coisas de hackers ou ameaças cibernéticas? Veja isso: Enorme lista de ransomware da Gridinsoft Research: Papel #1, Papel #2. Ou assim: Autoridades dos EUA listam vulnerabilidades atacadas por hackers chineses.
Tais falhas podem comprometer a segurança de sistemas onde software problemático está instalado e em execução. Eles podem se tornar um ponto de entrada para invasores que tentam assumir o controle de dispositivos vulneráveis, ajudar os invasores a obter acesso a dados confidenciais, ou provocar uma negação de serviço.
Compilar esta lista, MITRA analistas de bugs examinaram em detalhes 43,996 IDs CVE do banco de dados nacional de vulnerabilidades do NIST (NVD) descoberto e descrito em 2021 e 2022. Os especialistas prestaram atenção especial aos CVEs que foram adicionados à lista de vulnerabilidades exploradas conhecidas (KEV), que é compilado por analistas da Agência de Segurança Cibernética e de Infraestrutura (CISA).
Os problemas na lista têm seus próprios identificadores CWE (não deve ser confundido com CVE) – Enumeração de fraquezas comuns. CWE difere de CVE porque, na verdade, os primeiros são os antecessores dos últimos, aquilo é, CWE leva ao aparecimento de vulnerabilidades diretamente.
Os CWEs são divididos em mais de 600 categorias que combinam classes muito amplas de diversos problemas, como CWE-20 (validação de entrada incorreta), CWE-200 (divulgação de informação), e CWE-287 (autenticação incorreta).
Os problemas mais perigosos no MITRE continuam a ser bugs fáceis de detectar, ter um forte impacto, e são difundidos em software lançado nos últimos dois anos.
O topo 25 A lista CWE compilada pelo MITRE é a seguinte:
| Classificação | EU IA | Nome | Pontuação | CVEs em KEV | Mudança de classificação vs.. 2022 |
|---|---|---|---|---|---|
| 1 | CWE-787 | Escrita fora dos limites | 63.72 | 70 | 0 |
| 2 | CWE-79 | Neutralização inadequada de entrada durante a geração de páginas da Web (‘Scripting entre sites’) | 45.54 | 4 | 0 |
| 3 | CWE-89 | Neutralização inadequada de elementos especiais usados em um comando SQL ('Injeção SQL') | 34.27 | 6 | 0 |
| 4 | CWE-416 | Use depois de graça | 16.71 | 44 | +3 |
| 5 | CWE-78 | Neutralização inadequada de elementos especiais usados em um comando do sistema operacional (‘Injeção de comando do sistema operacional’) | 15.65 | 23 | +1 |
| 6 | CWE-20 | Validação de entrada inadequada | 15.50 | 35 | -2 |
| 7 | CWE-125 | Leitura fora dos limites | 14.60 | 2 | -2 |
| 8 | CWE-22 | Limitação inadequada de um nome de caminho para um diretório restrito (‘Travessia do caminho’) | 14.11 | 16 | 0 |
| 9 | CWE-352 | Falsificação de solicitação entre sites (CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434 | Upload irrestrito de arquivo com tipo perigoso | 10.41 | 5 | 0 |
| 11 | CWE-862 | Autorização ausente | 6.90 | 0 | +5 |
| 12 | CWE-476 | Desreferência de ponteiro NULL | 6.59 | 0 | -1 |
| 13 | CWE-287 | Autenticação inadequada | 6.39 | 10 | +1 |
| 14 | CWE-190 | Estouro de número inteiro ou wraparound | 5.89 | 4 | -1 |
| 15 | CWE-502 | Desserialização de dados não confiáveis | 5.56 | 14 | -3 |
| 16 | CWE-77 | Neutralização Indevida de Elementos Especiais Utilizados em um Comando (‘Injeção de comando’) | 4.95 | 4 | +1 |
| 17 | CWE-119 | Restrição inadequada de operações dentro dos limites de um buffer de memória | 4.75 | 7 | +2 |
| 18 | CWE-798 | Uso de credenciais codificadas | 4.57 | 2 | -3 |
| 19 | CWE-918 | Falsificação de solicitação no servidor (SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | Autenticação ausente para função crítica | 3.78 | 8 | -2 |
| 21 | CWE-362 | Execução simultânea usando recurso compartilhado com sincronização inadequada (‘Condição de corrida’) | 3.53 | 8 | +1 |
| 22 | CWE-269 | Gerenciamento inadequado de privilégios | 3.31 | 5 | +7 |
| 23 | CWE-94 | Controle Indevido de Geração de Código (‘Injeção de código’) | 3.30 | 6 | +2 |
| 24 | CWE-863 | Autorização incorreta | 3.16 | 0 | +4 |
| 25 | CWE-276 | Permissões padrão incorretas | 3.16 | 0 | -5 |
