A MITRE által gondozott Common Weakness Enumeration (CWE) tipikus sérülékenységi hibatípusok katalógusa, ami kulcsfontosságú szereppel bír a biztonsági sérülékenységek eredőjének, hiba gyökerének felderítéséhez (root cause mapping).
A közhasznú szervezet minden évben frissíti a legveszélyesebb CWE típusokról vezetett Top 25-ös listáját (2024 CWE Top 25 Most Dangerous Software Weaknesses). A lista a CVE Program részeként felderített sérülékenységeket veszi alapul, kiegészítve a CISA KEV – ismert módon kihasznált sérülékenységi ─ információkkal. A lista összeállítására alkalmazott módszertan során figyelembe veszik, hogy az adott CWE milyen gyakorisággal kiváltó oka az ismert sérülékenységeknek, illetve az ezen sérülékenységek közül ismert módon kihasználtak átlagos súlyosságát (CVSS 3.1 alapján) is számításba veszik.
Kinek és mire jó a CWE toplista?
A CWE helyzetkép a fejlesztők számára különösen hasznos a biztonságosabb SDLC- és architektúratervezéshez, ugyanakkor a szervezetek számára is fontos információt jelent a kockázatelemzésük racionalizálásához.
Főbb megállapítások
Az idei lista 2023. június 1. és 2024. június 1 között publikált, mintegy 31 770 egyedi CVE alapján készült. A listában több változás is történt három CWE (CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’), CWE-276: Incorrect Default Permissions) a tavalyi listához képest kiesett a Top25-ből, azonban ez sok esetben abból fakad, hogy a MITRE az elemzett CWE-ket az NVD 130 leggyakoribb CWE-vel (View-1003) normalizálta.
A Top 3-ban ugyanakkor nem történt érdemi változás, ‘Cross-site Scripting’, az ’Out-of-bounds Write’ és az ’SQL Injection’ hibák számítanak a leginkább veszélyesnek.
Biztonsági szakemberek számára javasolt a lista áttekintése:
| Rank | ID | Name | Score | CVEs in KEV | Rank Change vs. 2023 |
| 1 | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 56.92 | 3 | +1 |
| 2 | CWE-787 | Out-of-bounds Write | 45.20 | 18 | -1 |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 35.88 | 4 | 0 |
| 4 | CWE-352 | Cross-Site Request Forgery (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 12.74 | 4 | +3 |
| 6 | CWE-125 | Out-of-bounds Read | 11.42 | 3 | +1 |
| 7 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 11.30 | 5 | -2 |
| 8 | CWE-416 | Use After Free | 10.19 | 5 | -4 |
| 9 | CWE-862 | Missing Authorization | 10.11 | 0 | +2 |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 10.03 | 0 | 0 |
| 11 | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) | 7.13 | 7 | +12 |
| 12 | CWE-20 | Improper Input Validation | 6.78 | 1 | -6 |
| 13 | CWE-77 | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) | 6.74 | 4 | +3 |
| 14 | CWE-287 | Improper Authentication | 5.94 | 4 | -1 |
| 15 | CWE-269 | Improper Privilege Management | 5.22 | 0 | +7 |
| 16 | CWE-502 | Deserialization of Untrusted Data | 5.07 | 5 | -1 |
| 17 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 5.07 | 0 | +13 |
| 18 | CWE-863 | Incorrect Authorization | 4.05 | 2 | +6 |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 3.69 | 2 | -3 |
| 21 | CWE-476 | NULL Pointer Dereference | 3.58 | 0 | -9 |
| 22 | CWE-798 | Use of Hard-coded Credentials | 3.46 | 2 | -4 |
| 23 | CWE-190 | Integer Overflow or Wraparound | 3.37 | 3 | -9 |
| 24 | CWE-400 | Uncontrolled Resource Consumption | 3.23 | 0 | +13 |
| 25 | CWE-306 | Missing Authentication for Critical Function | 2.73 | 5 | -5 |
