Nueva lista de vulnerabilidad comunes (MITRE CWE Top 25)

Los 25 errores de software más peligrosos de Common Weakness Enumeration (CWE Top 25) desarrollado por MITRE es una lista demostrativa de las debilidades más extendidas y críticas que pueden conducir a serias vulnerabilidades en el software. Estas debilidades son a menudo fáciles de encontrar y explotar. Son peligrosos porque con frecuencia permiten a los adversarios tomar control completo de servicios, robar datos o evitar que el software funcione.

El CWE Top 25 es un recurso que puede ser utilizado por desarrolladores, clientes, gerentes de proyectos, investigadores de seguridad y educadores para proporcionar información sobre algunas de las amenazas de seguridad más frecuentes en la industria del software.

Para crear la nueva lista de 2019, el equipo de CWE utilizó un enfoque basado en datos que aprovecha los datos publicados de ed Common Vulnerabilities and Exposures (CVE) y las asignaciones de CWE National Vulnerability Database (NVD) de NIST y Common Vulnerability Scoring System (CVSS) asociados con cada uno de los CVE. Luego se aplicó una fórmula de puntuación para determinar el nivel de prevalencia y peligro que presenta cada debilidad. Este enfoque basado en datos se puede utilizar como un proceso repetible y con secuencias de comandos para generar una lista CWE Top 25 de forma regular con un mínimo esfuerzo.

Rank	ID	Nombre	Score
[1]	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer	75.56
[2]	CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')	45.69
[3]	CWE-20	Improper Input Validation	43.61
[4]	CWE-200	Information Exposure	32.12
[5]	CWE-125	Out-of-bounds Read	26.53
[6]	CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')	24.54
[7]	CWE-416	Use After Free	17.94
[8]	CWE-190	Integer Overflow or Wraparound	17.35
[9]	CWE-352	Cross-Site Request Forgery (CSRF)	15.54
[10]	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')	14.10
[11]	CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')	11.47
[12]	CWE-787	Out-of-bounds Write	11.08
[13]	CWE-287	Improper Authentication	10.78
[14]	CWE-476	NULL Pointer Dereference	9.74
[15]	CWE-732	Incorrect Permission Assignment for Critical Resource	6.33
[16]	CWE-434	Unrestricted Upload of File with Dangerous Type	5.50
[17]	CWE-611	Improper Restriction of XML External Entity Reference	5.48
[18]	CWE-94	Improper Control of Generation of Code ('Code Injection')	5.36
[19]	CWE-798	Use of Hard-coded Credentials	5.12
[20]	CWE-400	Uncontrolled Resource Consumption	5.04
[21]	CWE-772	Missing Release of Resource after Effective Lifetime	5.04
[22]	CWE-426	Untrusted Search Path	4.40
[23]	CWE-502	Deserialization of Untrusted Data	4.30
[24]	CWE-269	Improper Privilege Management	4.23
[25]	CWE-295	Improper Certificate Validation	4.06

Fuente: MITRE

17 sept 2019

Nueva lista de vulnerabilidad comunes (MITRE CWE Top 25)

No hay comentarios.:

Publicar un comentario