code

Ezek a legveszélyesebb típusú sebezhetőségek

Frissült a CWE (Common Weakness Enumeration) a legveszélyesebb sebezhetőségekről vezetett Top 25-ös listája. Továbbra is az Out-of-bounds Write [CWE-787] (határon kívüli értékek írása) számít a legsúlyosabb biztonsági hibának.

A lista a legismertebb sérülékenységi katalógus, a NIST által gondozott National Vulnerability Data (NVD) adatbázisában szereplő sebezhetőségek elemzésével készült. A kutatók több, mint negyvenezer, az elmúlt két év során publikált CVE bejegyzést vizsgáltak át és értékeltek alapvetően két fő szempont alapján: a hibák gyakorisága (az adott CWE típus mennyire gyakran gyökéroka a vizsgált sérülékenységeknek) és súlyossága (gyakorlatilag a CVSS pontszám) alapján. (A módszertanról itt olvashat bővebben.)

Rank ID Name Score CVEs in KEV Rank Change vs. 2022
1 CWE-787 Out-of-bounds Write 63.72 70 0
2 CWE-79 Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) 45.54 4 0
3 CWE-89 Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) 34.27 6 0
4 CWE-416 Use After Free 16.71 44 +3
5 CWE-78 Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) 15.65 23 +1
6 CWE-20 Improper Input Validation 15.50 35 -2
7 CWE-125 Out-of-bounds Read 14.60 2 -2
8 CWE-22 Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) 14.11 16 0
9 CWE-352 Cross-Site Request Forgery (CSRF) 11.73 0 0
10 CWE-434 Unrestricted Upload of File with Dangerous Type 10.41 5 0
11 CWE-862 Missing Authorization 6.90 0 +5
12 CWE-476 NULL Pointer Dereference 6.59 0 -1
13 CWE-287 Improper Authentication 6.39 10 +1
14 CWE-190 Integer Overflow or Wraparound 5.89 4 -1
15 CWE-502 Deserialization of Untrusted Data 5.56 14 -3
16 CWE-77 Improper Neutralization of Special Elements used in a Command (‘Command Injection’) 4.95 4 +1
17 CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 4.75 7 +2
18 CWE-798 Use of Hard-coded Credentials 4.57 2 -3
19 CWE-918 Server-Side Request Forgery (SSRF) 4.56 16 +2
20 CWE-306 Missing Authentication for Critical Function 3.78 8 -2
21 CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’) 3.53 8 +1
22 CWE-269 Improper Privilege Management 3.31 5 +7
23 CWE-94 Improper Control of Generation of Code (‘Code Injection’) 3.30 6 +2
24 CWE-863 Incorrect Authorization 3.16 0 +4
25 CWE-276 Incorrect Default Permissions 3.16 0 -5

A tavalyi listához képest az első három helyen nincs változás, a hibák pontozása alapján a legnagyobb problémát szignifikánsan az Out-of-bounds Write [CWE-787] (határon kívüli értékek írása) típusú hibák jelentik, amit a Cross-site-scripting [CWE-79] és az SQL Injection [CWE-89] követ. 

A CISA ismerten kihasznált sebezhetőségekről vezetett (KEV) katalógusa mintegy 70 CWE-787 sebezhetőséget tartalmazott a vizsgált időszakban.

A CWE Top 25-höz hasonló, sérülékenységi trendekről készített elemzések fontos információt jelenthetnek a szervezetek számára segítve a beruházási és szabályozói döntéseket.

Érdemes megemlíteni még a Fontos Hardveres Sebezhetőségekről (Most Important Hardware Weaknesses) vezetett listát is, ami szoftvertervezők és programozók számára tartalmaz hasznos információkat ahhoz, hogy a gyakori biztonsági hibák már a fejlesztés korai szakaszában elkerülhetőek legyenek.

(thehackernews.com)