MITRE опубликовала список 25 наиболее опасных уязвимостей ПО за последние два года

Изображение: Fili Santillán (unsplash)

Некоммерческая организация MITRE опубликовала список 25 наиболее опасных уязвимостей ПО за последний двухлетний период. Представленные «слабые стороны» программного обеспечения, как отмечается, охватывают огромный спектр проблем, включая ошибки, уязвимости и баги в коде, архитектуре, реализации или дизайне программных решений.

Специалисты MITREотмечают, что эти «слабые места» могут подвергать рискам безопасность систем, на которых установлено и работает программное обеспечение. Они предоставляют точку входа для киберпреступников, которые стремятся получить контроль над другими устройствами, получить доступ к конфиденциальной информации и вызвать отказ в обслуживании.

Для составления этого списка специалисты MITRE оценивали каждую уязвимость в зависимости от ее серьезности и распространенности, проанализировав около 44 000 записей в Национальной базе данных уязвимостей (NVD) NIST. Эксперты исследовали уязвимости, которые были обнаружены и зарегистрированы в 2021-2022 годах. Особое внимание было уделено ошибкам, которые были добавлены в список известных эксплуатируемых уязвимостей американского Агентства по кибербезопасности и защите инфраструктуры (CISA).

Согласно MITRE, перечисленные ниже 25 уязвимостей представляют наибольшую опасность из-за их существенного влияния и широкого распространения в софте, выпущенном за последние два года:

1. CWE-787 (Out-of-bounds Write).
2. CWE-79 (Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’).
3. CWE-89 (Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’).
4. CWE-416 (Use After Free).
5. CWE-78 (Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’).
6. CWE-20 (Improper Input Validation).
7. CWE-125 (Out-of-bounds Read).
8. CWE-22 (Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’).
9. CWE-352 (Cross-Site Request Forgery (CSRF).
10. CWE-434 (Unrestricted Upload of File with Dangerous Type).
11. CWE-862 (Missing Authorization).
12. CWE-476 (NULL Pointer Dereference).
13. CWE-287 (Improper Authentication).
14. CWE-190 (Integer Overflow or Wraparound).
15. CWE-502 (Deserialization of Untrusted Data).
16. CWE-77 (Improper Neutralization of Special Elements used in a Command (‘Command Injection’).
17. CWE-119 (Improper Restriction of Operations within the Bounds of a Memory Buffer).
18. CWE-798 (Use of Hard-coded Credentials).
19. CWE-918 (Server-Side Request Forgery (SSRF).
20. CWE-306 (Missing Authentication for Critical Function).
21. CWE-362 (Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’).
22. CWE-269 (Improper Privilege Management).
23. CWE-94 (Improper Control of Generation of Code (‘Code Injection’).
24. CWE-863 (Incorrect Authorization).
25. CWE-276 (Incorrect Default Permissions).

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.