17 sep. 2019

Nueva lista de vulnerabilidad comunes (MITRE CWE Top 25)

Los 25 errores de software más peligrosos de Common Weakness Enumeration (CWE Top 25) desarrollado por MITRE es una lista demostrativa de las debilidades más extendidas y críticas que pueden conducir a serias vulnerabilidades en el software. Estas debilidades son a menudo fáciles de encontrar y explotar. Son peligrosos porque con frecuencia permiten a los adversarios tomar control completo de servicios, robar datos o evitar que el software funcione.

El CWE Top 25 es un recurso que puede ser utilizado por desarrolladores, clientes, gerentes de proyectos, investigadores de seguridad y educadores para proporcionar información sobre algunas de las amenazas de seguridad más frecuentes en la industria del software.

Para crear la nueva lista de 2019, el equipo de CWE utilizó un enfoque basado en datos que aprovecha los datos publicados de ed Common Vulnerabilities and Exposures (CVE) y las asignaciones de CWE National Vulnerability Database (NVD) de NIST y Common Vulnerability Scoring System (CVSS) asociados con cada uno de los CVE. Luego se aplicó una fórmula de puntuación para determinar el nivel de prevalencia y peligro que presenta cada debilidad. Este enfoque basado en datos se puede utilizar como un proceso repetible y con secuencias de comandos para generar una lista CWE Top 25 de forma regular con un mínimo esfuerzo.
RankIDNombreScore
[1]CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer75.56
[2]CWE-79Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')45.69
[3]CWE-20Improper Input Validation43.61
[4]CWE-200Information Exposure32.12
[5]CWE-125Out-of-bounds Read26.53
[6]CWE-89Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')24.54
[7]CWE-416Use After Free17.94
[8]CWE-190Integer Overflow or Wraparound17.35
[9]CWE-352Cross-Site Request Forgery (CSRF)15.54
[10]CWE-22Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')14.10
[11]CWE-78Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')11.47
[12]CWE-787Out-of-bounds Write11.08
[13]CWE-287Improper Authentication10.78
[14]CWE-476NULL Pointer Dereference9.74
[15]CWE-732Incorrect Permission Assignment for Critical Resource6.33
[16]CWE-434Unrestricted Upload of File with Dangerous Type5.50
[17]CWE-611Improper Restriction of XML External Entity Reference5.48
[18]CWE-94Improper Control of Generation of Code ('Code Injection')5.36
[19]CWE-798Use of Hard-coded Credentials5.12
[20]CWE-400Uncontrolled Resource Consumption5.04
[21]CWE-772Missing Release of Resource after Effective Lifetime5.04
[22]CWE-426Untrusted Search Path4.40
[23]CWE-502Deserialization of Untrusted Data4.30
[24]CWE-269Improper Privilege Management4.23
[25]CWE-295Improper Certificate Validation4.06

Fuente: MITRE

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!