MITRE 组织公布了 2022 年 CWE 最危险的 25 个软件弱点

特殊元素的不当中和（”SQL注入”）22.117+34CWE-20不当的输入验证20.632005CWE-125界外读取17.671-26CWE-78操作系统命令中使用的特殊元素的不当中和（”操作系统命令注入”）17.5332-17CWE-416内存破坏漏洞15.502808CWE-22对受限目录路径名的不适当限制 （”路径穿越”）14.081909CWE-352跨站请求伪造(CSRF)11.531010CWE-434不受限上传危险类型的文件9.566011CWE-476空指针间接引用7.150+412CWE-502不可信数据的反序列化6.687+113CWE-190整数溢出或绕行6.532-114CWE-287危险认证6.354015CWE-798使用硬编码的凭证5.660+116CWE-862缺少授权5.531+217CWE-77“命令注入”5.425+818CWE-306关键功能的认证机制缺失5.156-719CWE-119对内存缓冲区范围内的操作限制不当4.856-220CWE-276默认权限不正确4.840-121CWE-918服务器端请求伪造(SSRF)4.278+322CWE-362使用共享资源的并发执行与不当的同步（”竞争条件”）3.576+1123CWE-400不受控制的资源消耗3.562+424CWE-611对XML外部实体引用的不当限制3.380-125CWE-94“代码注入”3.324+3

具体来看该榜单的几个排名变化，有几个弱点掉出了榜单排名或首次出现在前25名的排名中。

首先榜单上最大的变动是：

CWE-362（使用共享资源的并发执行与不当的同步（“竞争条件”））从第33位上升到第22位；
CWE-94（“代码注入”）从第28位上升到第25位；
CWE-400(不受控制的资源消耗)从第27位上升到第23位；
CWE-77 （“命令注入”）从第25位上升到第17位;
CWE-476（空指针间接引用）则从第15位上升到第11位。

而下降幅度最大的是：

CWE-306（关键功能认证缺失）从第11位降低到第18位；
CWE-200 （将敏感信息暴露给未经授权的行为者）从第20位降低到第33位；
CWE-522（凭证保护不足）从第21位下降到第38位；

最后一个是CWE-732（关键资源的权限分配不正确）从第22名降低至第30名。

有三条新进入到前25名的条目，它们是：

CWE-362 (使用共享资源的并发执行与不当的同步（“竞争条件”）)从第33位升至第22位：
CWE-94 (“代码注入”)从第28名上升至第25名
CWE-400 (不受控制的资源消耗)则是从第27名上升到第23名

相对的也有三条条目跌出前25名，它们是：

CWE-200（将敏感信息暴露给未经授权的行为者）从第20位降至第33位；
CWE-522 (凭证保护不足)从第21位降至第38位；
CWE-732（关键资源的不正确权限分配）从第22位到第30位。

转自 FreeBuf，原文链接：https://www.freebuf.com/news/337766.html

封面来源于网络，如有侵权请联系删除