O Homeland Security Systems Engineering and Development Institute dos EUA, patrocinado pelo Department of Homeland Security dos EUA e operado pelo MITRE, lançou o ‘2023 Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Weaknesses‘. O CWE Top 25 é calculado pela análise de dados públicos de vulnerabilidade no National Vulnerability Data (NVD) para mapeamentos de causa raiz para pontos fracos do CWE nos dois anos anteriores. Essas fraquezas levam a sérias vulnerabilidades no software. Muitas vezes, um invasor pode explorar essas vulnerabilidades para assumir o controle de um sistema afetado, roubar dados ou impedir que os aplicativos funcionem.
O CWE Top 25 de 2023 também incorpora dados de fraqueza atualizados para registros CVE recentes no conjunto de dados que fazem parte do Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA.
A CISA incentiva os desenvolvedores e as equipes de resposta de segurança do produto a revisar o CWE Top 25 e avaliar as mitigações recomendadas para determinar as mais adequadas a serem adotadas.
O programa CWE publica uma série de outros artigos sobre a metodologia CWE Top 25, tendências de mapeamento de vulnerabilidades e outras informações úteis que ajudam a ilustrar como o gerenciamento de vulnerabilidades desempenha um papel importante na mudança do equilíbrio do risco de segurança cibernética.
Lista das 25 Vulnerabilidades
2 – Neutralização inadequada de entrada durante a geração de páginas da Web (‘Cross-site Scripting’)
3 – Neutralização inadequada de elementos especiais usados em um comando SQL (‘SQL Injection’)
6 – Validação de entrada inadequada
8 – Limitação inadequada de Pathname para um diretório restrito (‘Path Traversal’)
9 – Falsificação de solicitação entre sites (CSRF)
10 – Upload irrestrito de arquivo do tipo perigoso
12 – Desreferência de ponteiro NULL
14 – Integer Overflow ou Wraparound
15 – Desserialização de dados não confiáveis
16 – Neutralização Indevida de Elementos Especiais Utilizados em um Comando (‘Injeção de Comando’)
17 – Restrição inadequada de operações dentro dos limites de um buffer de memória
18 – Uso de credenciais codificadas
19 – Falsificação de solicitação de Server-Side (SSRF)
20 – Autenticação ausente para função crítica
22 – Gerenciamento inadequado de privilégios
23 – Controle Indevido de Geração de Código (‘Injeção de Código’)
25 – Permissões padrão incorretas
Para conferir a lista original completa, clique aqui.
Para saber mais, clique aqui.