A MITRE Corporation publicou uma lista atualizada das 25 fraquezas de software mais perigosas da Common Weakness Enumeration (CWE) para refletir as últimas tendências no cenário adversário.
O 2023 CWE Top 25 lista as fraquezas mais comuns e impactantes que levam a graves vulnerabilidades de software que são frequentemente exploradas em ataques mal-intencionados para assumir o controle de sistemas, roubar informações ou causar negação de serviço (DoS).
A principal mudança no topo da lista deste ano é o aumento dos tipos de vulnerabilidade use-after-free como a quarta fraqueza de software mais perigosa, acima da sétima posição no ano passado.
Ademais, as falhas de injeção de comandos de SO (neutralização inadequada de elementos especiais usados em um comando de SO) subiram uma posição, chegando ao quinto lugar.
As vulnerabilidades de gravação fora dos limites e script entre sites (XSS) continuam a dominar a lista, seguidas por bugs de injeção de SQL.
Além de várias mudanças de posição no meio da lista, vale a pena notar que dois tipos de vulnerabilidade entraram no Top 25 do CWE 2023 este ano, ou seja, gerenciamento impróprio de privilégios (agora 22, acima de 29) e autorização incorreta (24, acima a partir de 28).
O consumo descontrolado de recursos e a restrição imprópria da referência de entidade externa XML (XXE) caíram das 25 vulnerabilidades mais perigosas deste ano.
De acordo com a Agência de Segurança Cibernética e Infraestrutura (CISA), o CWE Top 25 de 2023 foi atualizado com dados de CVEs recentes que foram incluídos no Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da agência.
“O CWE Top 25 é calculado pela análise de dados públicos de vulnerabilidade no National Vulnerability Data (NVD) para mapeamentos de causa raiz para pontos fracos do CWE nos dois anos civis anteriores”, explica a CISA.
Ao longo deste verão, o MITRE está planejando o lançamento de recursos adicionais sobre a metodologia CWE Top 25, tendências de mapeamento de vulnerabilidade e outras informações para ajudar desenvolvedores e organizações a entender e usar a lista com mais eficiência.
Os desenvolvedores e as equipes de segurança são aconselhados a revisar o CWE Top 25 de 2023 e avaliar e aplicar mitigações sempre que possível.
: