Los especialistas de MITRE han publicado una lista de los 25 Los errores de software más peligrosos de los últimos dos años. Incluía una variedad de deficiencias., incluyendo vulnerabilidades y errores en el código, arquitectura, implementación y diseño del software.
Listas de amor de algunas cosas de piratas informáticos o amenazas cibernéticas? Mira esto: Enorme lista de ransomware según Gridinsoft Research: Parte #1, Parte #2. O así: Las autoridades estadounidenses enumeran las vulnerabilidades que atacan los piratas informáticos chinos.
Tales fallas pueden poner en peligro la seguridad de los sistemas donde se instala y ejecuta software problemático.. Pueden convertirse en un punto de entrada para los atacantes que intentan tomar el control de dispositivos vulnerables., ayudar a los atacantes a obtener acceso a datos confidenciales, o provocar una denegación de servicio.
Compilar esta lista, INGLETE analistas de errores examinados en detalle 43,996 ID de CVE de la base de datos nacional de vulnerabilidades del NIST (NVD) descubierto y descrito en 2021 y 2022. Los expertos prestaron especial atención a los CVE que se agregaron a la lista de vulnerabilidades explotadas conocidas. (KEV), que es compilado por analistas de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).
Los problemas en la lista tienen sus propios identificadores CWE (no confundir con CVE) – Enumeración de debilidades comunes. CWE se diferencia de CVE en que, en realidad, los primeros son los predecesores de los segundos, eso es, CWE conduce directamente a la aparición de vulnerabilidades.
Los CWE se dividen en más de 600 categorías que combinan clases muy amplias de problemas diversos, como CWE-20 (validación de entrada incorrecta), CWE-200 (divulgación de información), y CWE-287 (autenticación incorrecta).
Los problemas más peligrosos en MITRE siguen siendo errores fáciles de detectar, tener un fuerte impacto, y están muy extendidos en el software lanzado en los últimos dos años..
La parte superior 25 La lista CWE compilada por MITRE es la siguiente:
| Rango | IDENTIFICACIÓN | Nombre | Puntaje | CVEs en KEV | Cambio de rango vs.. 2022 |
|---|---|---|---|---|---|
| 1 | CWE-787 | Escritura fuera de límites | 63.72 | 70 | 0 |
| 2 | CWE-79 | Neutralización inadecuada de la entrada durante la generación de una página web ('Secuencias de comandos entre sitios') | 45.54 | 4 | 0 |
| 3 | CWE-89 | Neutralización inadecuada de elementos especiales utilizados en un comando SQL ('Inyección SQL') | 34.27 | 6 | 0 |
| 4 | CWE-416 | Usar después gratis | 16.71 | 44 | +3 |
| 5 | CWE-78 | Neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo ('Inyección de comandos del sistema operativo') | 15.65 | 23 | +1 |
| 6 | CWE-20 | Validación de entrada incorrecta | 15.50 | 35 | -2 |
| 7 | CWE-125 | Lectura fuera de límites | 14.60 | 2 | -2 |
| 8 | CWE-22 | Limitación inadecuada de una ruta de acceso a un directorio restringido ('Recorrido de camino') | 14.11 | 16 | 0 |
| 9 | CWE-352 | Falsificación de solicitudes entre sitios (CSRF) | 11.73 | 0 | 0 |
| 10 | CWE-434 | Carga sin restricciones de archivos con tipos peligrosos | 10.41 | 5 | 0 |
| 11 | CWE-862 | Autorización faltante | 6.90 | 0 | +5 |
| 12 | CWE-476 | Desreferencia del puntero NULL | 6.59 | 0 | -1 |
| 13 | CWE-287 | Autenticación inadecuada | 6.39 | 10 | +1 |
| 14 | CWE-190 | Desbordamiento de enteros o envoltura envolvente | 5.89 | 4 | -1 |
| 15 | CWE-502 | Deserialización de datos que no son de confianza | 5.56 | 14 | -3 |
| 16 | CWE-77 | Neutralización inadecuada de elementos especiales utilizados en un comando ('Inyección de comando') | 4.95 | 4 | +1 |
| 17 | CWE-119 | Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria | 4.75 | 7 | +2 |
| 18 | CWE-798 | Uso de credenciales codificadas | 4.57 | 2 | -3 |
| 19 | CWE-918 | Falsificación de solicitudes del lado del servidor (SSRF) | 4.56 | 16 | +2 |
| 20 | CWE-306 | Autenticación faltante para función crítica | 3.78 | 8 | -2 |
| 21 | CWE-362 | Ejecución simultánea utilizando recursos compartidos con sincronización incorrecta ('Condición de carrera') | 3.53 | 8 | +1 |
| 22 | CWE-269 | Gestión inadecuada de privilegios | 3.31 | 5 | +7 |
| 23 | CWE-94 | Control inadecuado de la generación de código ('Inyección de código') | 3.30 | 6 | +2 |
| 24 | CWE-863 | Autorización incorrecta | 3.16 | 0 | +4 |
| 25 | CWE-276 | Permisos predeterminados incorrectos | 3.16 | 0 | -5 |
