21 nov 2024

MITRE publica las 25 debilidades de software más peligrosas de 2024 (CWE)

Como cada año, MITRE ha compartido la lista de las 25 principales debilidades de software más comunes y peligrosas de este año, detrás de más de 31.000 vulnerabilidades reveladas entre junio de 2023 y junio de 2024.

Las debilidades de software se refieren a fallas, errores, vulnerabilidades y errores encontrados en el código, la arquitectura, la implementación o el diseño del software. Los atacantes pueden explotarlas para violar los sistemas donde se ejecuta el software vulnerable, lo que les permite obtener el control de los dispositivos afectados y acceder a datos confidenciales o desencadenar ataques de denegación de servicio.

Rank ID Name Score KEV CVEs Change
1 CWE-79 Cross-site Scripting 56.92 3 +1
2 CWE-787 Out-of-bounds Write 45.20 18 -1
3 CWE-89 SQL Injection 35.88 4 0
4 CWE-352 Cross-Site Request Forgery (CSRF) 19.57 0 +5
5 CWE-22 Path Traversal 12.74 4 +3
6 CWE-125 Out-of-bounds Read 11.42 3 +1
7 CWE-78 OS Command Injection 11.30 5 -2
8 CWE-416 Use After Free 10.19 5 -4
9 CWE-862 Missing Authorization 10.11 0 +2
10 CWE-434 Unrestricted Upload of File with Dangerous Type 10.03 0 0
11 CWE-94 Code Injection 7.13 7 +12
12 CWE-20 Improper Input Validation 6.78 1 -6
13 CWE-77 Command Injection 6.74 4 +3
14 CWE-287 Improper Authentication 5.94 4 -1
15 CWE-269 Improper Privilege Management 5.22 0 +7
16 CWE-502 Deserialization of Untrusted Data 5.07 5 -1
17 CWE-200 Exposure of Sensitive Information to an Unauthorized Actor 5.07 0 +13
18 CWE-863 Incorrect Authorization 4.05 2 +6
19 CWE-918 Server-Side Request Forgery (SSRF) 4.05 2 0
20 CWE-119 Improper Operations Restriction in Memory Buffer Bounds 3.69 2 -3
21 CWE-476 NULL Pointer Dereference 3.58 0 -9
22 CWE-798 Use of Hard-coded Credentials 3.46 2 -4
23 CWE-190 Integer Overflow or Wraparound 3.37 3 -9
24 CWE-400 Uncontrolled Resource Consumption 3.23 0 +13
25 CWE-306 Missing Authentication for Critical Function 2.73 5 -5

"A menudo fáciles de encontrar y explotar, pueden dar lugar a vulnerabilidades explotables que permiten a los adversarios tomar el control total de un sistema, robar datos o evitar que las aplicaciones funcionen", dijo MITRE. "Descubrir las causas fundamentales de estas vulnerabilidades sirve como una guía poderosa para las inversiones, políticas y prácticas para evitar que estas vulnerabilidades ocurran en primer lugar, lo que beneficia tanto a las partes interesadas de la industria como del gobierno".

Para crear la clasificación de este año, MITRE calificó cada debilidad en función de su gravedad y frecuencia después de analizar 31.770 registros de CVE en busca de vulnerabilidades que se informaron durante 2023 y 2024, con un enfoque en las fallas de seguridad agregadas al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.

CISA también publica periódicamente alertas "Secure by Design" que destacan la prevalencia de vulnerabilidades ampliamente conocidas y documentadas que aún no se han eliminado del software a pesar de las mitigaciones disponibles y efectivas.

La semana pasada, el FBI, la NSA y las autoridades de ciberseguridad Five Eyes publicaron una lista de las 15 principales vulnerabilidades de seguridad explotadas de forma rutinaria el año pasado, advirtiendo que los atacantes se centraron en atacar los días cero (fallas de seguridad que se han revelado pero que aún no se han parcheado).

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!