O Homeland Security Systems Engineering and Development Institute dos EUA, patrocinado pelo Department of Homeland Security dos EUA e operado pelo MITRE, lançou o ‘2023 Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses‘. O CWE Top 25 é calculado pela análise de dados públicos de vulnerabilidade no National Vulnerability Data (NVD) para mapeamentos de causa raiz para pontos fracos do CWE nos dois anos anteriores. Essas fraquezas levam a sérias vulnerabilidades no software. Muitas vezes, um invasor pode explorar essas vulnerabilidades para assumir o controle de um sistema afetado, roubar dados ou impedir que os aplicativos funcionem.

O CWE Top 25 de 2023 também incorpora dados de fraqueza atualizados para registros CVE recentes no conjunto de dados que fazem parte do Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA.

A CISA incentiva os desenvolvedores e as equipes de resposta de segurança do produto a revisar o CWE Top 25 e avaliar as mitigações recomendadas para determinar as mais adequadas a serem adotadas.

O programa CWE publica uma série de outros artigos sobre a metodologia CWE Top 25, tendências de mapeamento de vulnerabilidades e outras informações úteis que ajudam a ilustrar como o gerenciamento de vulnerabilidades desempenha um papel importante na mudança do equilíbrio do risco de segurança cibernética.

Lista das 25 Vulnerabilidades

1 – Escrita Out-of-bounds

2 – Neutralização inadequada de entrada durante a geração de páginas da Web (‘Cross-site Scripting’)

3 – Neutralização inadequada de elementos especiais usados em um comando SQL (‘SQL Injection’)

4 – Use After Free

5 – Neutralização inadequada de elementos especiais usados em um comando do sistema operacional (‘injeção de comando do sistema operacional’)

6 – Validação de entrada inadequada

7 – Leitura Out-of Bounds

8 – Limitação inadequada de Pathname para um diretório restrito (‘Path Traversal’)

9 – Falsificação de solicitação entre sites (CSRF)

10 – Upload irrestrito de arquivo do tipo perigoso

11 – Autorização ausente

12 – Desreferência de ponteiro NULL

13 – Autenticação inadequada

14 – Integer Overflow ou Wraparound

15 – Desserialização de dados não confiáveis

16 – Neutralização Indevida de Elementos Especiais Utilizados em um Comando (‘Injeção de Comando’)

17 – Restrição inadequada de operações dentro dos limites de um buffer de memória

18 – Uso de credenciais codificadas

19 – Falsificação de solicitação de Server-Side (SSRF)

20 – Autenticação ausente para função crítica

21 – Execução Simultânea Usando Recurso Compartilhado com Sincronização Inadequada (‘Condição de Corrida’)

22 – Gerenciamento inadequado de privilégios

23 – Controle Indevido de Geração de Código (‘Injeção de Código’)

24 – Autorização incorreta

25 – Permissões padrão incorretas

Para conferir a lista original completa, clique aqui.

Para saber mais, clique aqui.