Nueva lista de vulnerabilidad comunes (MITRE CWE Top 25)
Los 25 errores de software más peligrosos de Common Weakness Enumeration (CWE Top 25) desarrollado por MITRE es una lista demostrativa de las debilidades más extendidas y críticas que pueden conducir a serias vulnerabilidades en el software. Estas debilidades son a menudo fáciles de encontrar y explotar. Son peligrosos porque con frecuencia permiten a los adversarios tomar control completo de servicios, robar datos o evitar que el software funcione.
El CWE Top 25 es un recurso que puede ser utilizado por desarrolladores, clientes, gerentes de proyectos, investigadores de seguridad y educadores para proporcionar información sobre algunas de las amenazas de seguridad más frecuentes en la industria del software.
Para crear la nueva lista de 2019, el equipo de CWE utilizó un enfoque basado en datos que aprovecha los datos publicados de ed Common Vulnerabilities and Exposures (CVE) y las asignaciones de CWE National Vulnerability Database (NVD) de NIST y Common Vulnerability Scoring System (CVSS) asociados con cada uno de los CVE. Luego se aplicó una fórmula de puntuación para determinar el nivel de prevalencia y peligro que presenta cada debilidad. Este enfoque basado en datos se puede utilizar como un proceso repetible y con secuencias de comandos para generar una lista CWE Top 25 de forma regular con un mínimo esfuerzo.
Fuente: MITRE
El CWE Top 25 es un recurso que puede ser utilizado por desarrolladores, clientes, gerentes de proyectos, investigadores de seguridad y educadores para proporcionar información sobre algunas de las amenazas de seguridad más frecuentes en la industria del software.
Para crear la nueva lista de 2019, el equipo de CWE utilizó un enfoque basado en datos que aprovecha los datos publicados de ed Common Vulnerabilities and Exposures (CVE) y las asignaciones de CWE National Vulnerability Database (NVD) de NIST y Common Vulnerability Scoring System (CVSS) asociados con cada uno de los CVE. Luego se aplicó una fórmula de puntuación para determinar el nivel de prevalencia y peligro que presenta cada debilidad. Este enfoque basado en datos se puede utilizar como un proceso repetible y con secuencias de comandos para generar una lista CWE Top 25 de forma regular con un mínimo esfuerzo.
| Rank | ID | Nombre | Score |
|---|---|---|---|
| [1] | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer | 75.56 |
| [2] | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') | 45.69 |
| [3] | CWE-20 | Improper Input Validation | 43.61 |
| [4] | CWE-200 | Information Exposure | 32.12 |
| [5] | CWE-125 | Out-of-bounds Read | 26.53 |
| [6] | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') | 24.54 |
| [7] | CWE-416 | Use After Free | 17.94 |
| [8] | CWE-190 | Integer Overflow or Wraparound | 17.35 |
| [9] | CWE-352 | Cross-Site Request Forgery (CSRF) | 15.54 |
| [10] | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') | 14.10 |
| [11] | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') | 11.47 |
| [12] | CWE-787 | Out-of-bounds Write | 11.08 |
| [13] | CWE-287 | Improper Authentication | 10.78 |
| [14] | CWE-476 | NULL Pointer Dereference | 9.74 |
| [15] | CWE-732 | Incorrect Permission Assignment for Critical Resource | 6.33 |
| [16] | CWE-434 | Unrestricted Upload of File with Dangerous Type | 5.50 |
| [17] | CWE-611 | Improper Restriction of XML External Entity Reference | 5.48 |
| [18] | CWE-94 | Improper Control of Generation of Code ('Code Injection') | 5.36 |
| [19] | CWE-798 | Use of Hard-coded Credentials | 5.12 |
| [20] | CWE-400 | Uncontrolled Resource Consumption | 5.04 |
| [21] | CWE-772 | Missing Release of Resource after Effective Lifetime | 5.04 |
| [22] | CWE-426 | Untrusted Search Path | 4.40 |
| [23] | CWE-502 | Deserialization of Untrusted Data | 4.30 |
| [24] | CWE-269 | Improper Privilege Management | 4.23 |
| [25] | CWE-295 | Improper Certificate Validation | 4.06 |
Fuente: MITRE
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!