A MITRE által gondozott Common Weakness Enumeration (CWE) tipikus sérülékenységi hibatípusok katalógusa, ami kulcsfontosságú szereppel bír a biztonsági sérülékenységek eredőjének, hiba gyökerének felderítéséhez (root cause mapping(külső hivatkozás)).
A közhasznú szervezet minden évben frissíti a legveszélyesebb CWE típusokról vezetett Top 25-ös listáját (2024 CWE Top 25 Most Dangerous Software Weaknesses(külső hivatkozás)). A lista a CVE Program(külső hivatkozás) részeként felderített sérülékenységeket veszi alapul, kiegészítve a CISA KEV – ismert módon kihasznált sérülékenységi ─ információkkal. A lista összeállítására alkalmazott módszertan(külső hivatkozás) során figyelembe veszik, hogy az adott CWE milyen gyakorisággal kiváltó oka az ismert sérülékenységeknek, illetve az ezen sérülékenységek közül ismert módon kihasználtak átlagos súlyosságát (CVSS 3.1 alapján) is számításba veszik.
Kinek és mire jó a CWE toplista?
A CWE helyzetkép a fejlesztők számára különösen hasznos a biztonságosabb SDLC- és architektúratervezéshez, ugyanakkor a szervezetek számára is fontos információt jelent a kockázatelemzésük racionalizálásához.
Főbb megállapítások
Az idei lista 2023. június 1. és 2024. június 1 között publikált, mintegy 31 770 egyedi CVE alapján készült. A listában több változás is történt(külső hivatkozás) három CWE (CWE-362(külső hivatkozás): Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’), CWE-276(külső hivatkozás): Incorrect Default Permissions) a tavalyi listához képest kiesett a Top25-ből, azonban ez sok esetben abból fakad, hogy a MITRE az elemzett CWE-ket az NVD 130 leggyakoribb CWE-vel (View-1003(külső hivatkozás)) normalizálta.
A Top 3-ban ugyanakkor nem történt érdemi változás, ‘Cross-site Scripting’, az ’Out-of-bounds Write’ és az ’SQL Injection’ hibák számítanak a leginkább veszélyesnek.
Biztonsági szakemberek számára javasolt a lista áttekintése:
| Helyezés | Azonosító | Név | Pontszám | CVE-k száma a KEV-ben | Változás a 2023-as esztendőhöz képest |
| 1 | CWE-79(külső hivatkozás) | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) | 56.92 | 3 | +1 |
| 2 | CWE-787(külső hivatkozás) | Out-of-bounds Write | 45.20 | 18 | -1 |
| 3 | CWE-89(külső hivatkozás) | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) | 35.88 | 4 | 0 |
| 4 | CWE-352(külső hivatkozás) | Cross-Site Request Forgery (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22(külső hivatkozás) | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) | 12.74 | 4 | +3 |
| 6 | CWE-125(külső hivatkozás) | Out-of-bounds Read | 11.42 | 3 | +1 |
| 7 | CWE-78(külső hivatkozás) | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) | 11.30 | 5 | -2 |
| 8 | CWE-416(külső hivatkozás) | Use After Free | 10.19 | 5 | -4 |
| 9 | CWE-862(külső hivatkozás) | Missing Authorization | 10.11 | 0 | +2 |
| 10 | CWE-434(külső hivatkozás) | Unrestricted Upload of File with Dangerous Type | 10.03 | 0 | 0 |
| 11 | CWE-94(külső hivatkozás) | Improper Control of Generation of Code (‘Code Injection’) | 7.13 | 7 | +12 |
| 12 | CWE-20(külső hivatkozás) | Improper Input Validation | 6.78 | 1 | -6 |
| 13 | CWE-77(külső hivatkozás) | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) | 6.74 | 4 | +3 |
| 14 | CWE-287(külső hivatkozás) | Improper Authentication | 5.94 | 4 | -1 |
| 15 | CWE-269(külső hivatkozás) | Improper Privilege Management | 5.22 | 0 | +7 |
| 16 | CWE-502(külső hivatkozás) | Deserialization of Untrusted Data | 5.07 | 5 | -1 |
| 17 | CWE-200(külső hivatkozás) | Exposure of Sensitive Information to an Unauthorized Actor | 5.07 | 0 | +13 |
| 18 | CWE-863(külső hivatkozás) | Incorrect Authorization | 4.05 | 2 | +6 |
| 19 | CWE-918(külső hivatkozás) | Server-Side Request Forgery (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119(külső hivatkozás) | Improper Restriction of Operations within the Bounds of a Memory Buffer | 3.69 | 2 | -3 |
| 21 | CWE-476(külső hivatkozás) | NULL Pointer Dereference | 3.58 | 0 | -9 |
| 22 | CWE-798(külső hivatkozás) | Use of Hard-coded Credentials | 3.46 | 2 | -4 |
| 23 | CWE-190(külső hivatkozás) | Integer Overflow or Wraparound | 3.37 | 3 | -9 |
| 24 | CWE-400(külső hivatkozás) | Uncontrolled Resource Consumption | 3.23 | 0 | +13 |
| 25 | CWE-306(külső hivatkozás) | Missing Authentication for Critical Function | 2.73 | 5 | -5 |
