MITRE发布过去两年给软件造成困扰的常见缺陷枚举 (CWE) Top 25,这些缺陷会在软件中导致严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。
为了创建此列表,MITRE分析了NIST国家漏洞数据库(NVD)中在2021年和2022年发现和报告的43,996个CVE条目,并重点关注添加到CISA已知利用漏洞(KEV)目录中的CVE记录,然后根据其严重性和流行程度对每个漏洞进行了评分。
2023 年 CWE 前 25 名中包含的软件缺陷类型还包括从网络安全和基础设施安全局 (CISA) 已知漏洞 (KEV) 目录中观察到的示例,以显示与现实世界漏洞的相关性。
MITRE表示:“在收集,范围界定和重新映射过程之后,使用评分公式来计算缺陷的排名顺序,该排名顺序结合了频率(CWE是漏洞的根本原因的次数),以及每个漏洞被利用时的平均严重程度(由CVSS评分衡量)。”
“在这两种情况下,频率和严重程度都相对于数据集中观察到的最小值和最大值进行了标准化。”
MITRE 的 2023 年CWE TOP 25是危险的,因为它们在过去两年发布的软件中产生了重大影响并且广泛存在。成功的利用漏洞可以使攻击者完全控制目标系统,收集和泄露敏感数据或触发拒绝服务(DoS)。
以下是清单相关内容:
更多详情可参考链接:
软件中的缺陷及漏洞为攻击者打开了大门,对应用软件进行安全测试,并在安装前进行代码安全检测已成为提高网络安全的有效手段。安全可控的静态代码检测工具可以帮助开发人员减少30%到70%的安全漏洞,同时可以检测编码规范问题及缺陷,为开发人员查看修改代码问题节省大量时间成本提高开发效率。
