O MITRE atualiza o CWE com as 25 principais fraquezas de software mais perigosas

A MITRE Corporation publicou uma lista atualizada das 25 fraquezas de software mais perigosas da Common Weakness Enumeration (CWE) para refletir as últimas tendências no cenário adversário.

O 2023 CWE Top 25 lista as fraquezas mais comuns e impactantes que levam a graves vulnerabilidades de software que são frequentemente exploradas em ataques mal-intencionados para assumir o controle de sistemas, roubar informações ou causar negação de serviço (DoS).

A principal mudança no topo da lista deste ano é o aumento dos tipos de vulnerabilidade use-after-free como a quarta fraqueza de software mais perigosa, acima da sétima posição no ano passado.

Além disso, as falhas de injeção de comandos de SO (neutralização inadequada de elementos especiais usados ​​em um comando de SO) subiram uma posição, chegando ao quinto lugar.

As vulnerabilidades de gravação fora dos limites e script entre sites (XSS) continuam a dominar a lista, seguidas por bugs de injeção de SQL.

Além de várias mudanças de posição no meio da lista, vale a pena notar que dois tipos de vulnerabilidade entraram no Top 25 do CWE 2023 este ano, ou seja, gerenciamento impróprio de privilégios (agora 22, acima de 29) e autorização incorreta (24, acima a partir de 28).

O consumo descontrolado de recursos e a restrição imprópria da referência de entidade externa XML (XXE) caíram das 25 vulnerabilidades mais perigosas deste ano.

De acordo com a Agência de Segurança Cibernética e Infraestrutura (CISA), o CWE Top 25 de 2023 foi atualizado com dados de CVEs recentes que foram incluídos no Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da agência.

“O CWE Top 25 é calculado pela análise de dados públicos de vulnerabilidade no National Vulnerability Data (NVD) para mapeamentos de causa raiz para pontos fracos do CWE nos dois anos civis anteriores”, explica a CISA.

Ao longo deste verão, o MITRE está planejando o lançamento de recursos adicionais sobre a metodologia CWE Top 25, tendências de mapeamento de vulnerabilidade e outras informações para ajudar desenvolvedores e organizações a entender e usar a lista com mais eficiência.

Os desenvolvedores e as equipes de segurança são aconselhados a revisar o CWE Top 25 de 2023 e avaliar e aplicar mitigações sempre que possível.

: