MITRE 公布 2024 年最严重的 25 个软件弱点

MITRE 最近发布了2024 年 CWE 25 个最危险软件漏洞年度榜单，基于 2023 年 6 月 1 日至 2024 年 6 月 1 日期间发布的 31,779 个常见漏洞和暴露 (CVE) 的记录数据集。

该榜单不同最常见漏洞榜单，因为它不是一份漏洞榜单，而是一份可被利用漏洞的系统设计中的弱点榜单。MITRE 的 CVE 和 CWE 项目负责人 Alec Summers 表示：“从定义上讲，代码注入是一种攻击，当我们思考 Top 25 时，就是在识别其背后的弱点。”

这些弱点可能会为漏洞和攻击铺平道路，因此意识到这些弱点并尽可能地减轻它们的影响非常重要。解决这些弱点不仅可以提高产品安全性，而且还可以节省公司的成本，因为“我们在产品开发中避免的弱点越多，部署后需要管理的漏洞就越少”。

 

公告称，2024 年的 CWE Top 25 引入了新方法，从而导致榜单排名与去年相比发生了许多变化。其中只有三个的排名与去年保持相同：

• CWE-89：SQL 命令中使用特殊元素的不当中和（“SQL 注入”），排名第 3
• CWE-434：无限制上传危险类型的文件，排名第 10
• CWE-918：服务器端请求伪造 (SSRF)，排名第 19

榜单上排名大幅上升的有：

• CWE-352：跨站请求伪造 (CSRF)，排名从第 9 位上升至第 4 位
• CWE-94：代码生成控制不当（“代码注入”），排名从第 23 位上升至第 11 位
• CWE-269：不当权限管理，从第 22 位上升至第 15 位
• CWE-863：授权错误，从第 24 位上升至第 18 位

跌幅最大的是：

• CWE-20：输入验证不当，从第 6 位下降至第 12 位
• CWE-476：NULL 指针解引用，从第 12 位下降到第 21 位
• CWE-190：整数溢出或环绕，从第 14 位下降到第 23 位
• CWE-306：缺少 Critical Function 的认证，从第 20 位下降到第 25 位

进入前 25 名的有：

• CWE-400：不受控制的资源消耗，从第 37 位上升至第 24 位
• CWE-200：向未经授权的行为者泄露敏感信息，排名从第 30 位上升至第 17 位

跌出前 25 名的有：

• CWE-362：使用共享资源并发执行不当同步（“竞争条件”），从第 21 位下降到第 34 位
• CWE-276：默认权限不正确，从第 25 位下降到第 36 位

更多详情可查看完整榜单：https://cwe.mitre.org/top25/archive/2024/2024_key_insights.html