MITRE发布22年份的25个常见且危险的漏洞列表,帮助企业和机构针对性防护和修复。
MITRE对NVD库中37899个CVE进行分析后,进行了评分和排名,把前25个类别单列出来,供安全圈参考。今年的冠军仍是由越界写取得,详细列表如下:
排名 | 编号 | 类别 | 分数 | KEV分数 | 排名变化 |
---|---|---|---|---|---|
1 | 越界写 | 64.20 | 62 | 0 | |
2 | XSS | 45.97 | 2 | 0 | |
3 | SQL注入 | 22.11 | 7 | +3 | |
4 | 输入验证不当 | 20.63 | 20 | 0 | |
5 | 越界读 | 17.67 | 1 | -2 | |
6 | 操作系统命令注入 | 17.53 | 32 | -1 | |
7 | UAF | 15.50 | 28 | 0 | |
8 | 路径遍历 | 14.08 | 19 | 0 | |
9 | CSRF | 11.53 | 1 | 0 | |
10 | 文件上传 | 9.56 | 6 | 0 | |
11 | 空指针解引用 | 7.15 | 0 | +4 | |
12 | 反序列化 | 6.68 | 7 | +1 | |
13 | 溢出 | 6.53 | 2 | -1 | |
14 | 身份验证不当 | 6.35 | 4 | 0 | |
15 | 硬编码凭证 | 5.66 | 0 | +1 | |
16 | 授权缺失 | 5.53 | 1 | +2 | |
17 | 命令注入 | 5.42 | 5 | +8 | |
18 | 关键功能授权缺失 | 5.15 | 6 | -7 | |
19 | 内存错误 | 4.85 | 6 | -2 | |
20 | 默认证书配置错误 | 4.84 | 0 | -1 | |
21 | SSRF | 4.27 | 8 | +3 | |
22 | 条件竞争 | 3.57 | 6 | +11 | |
23 | 资源消耗 | 3.56 | 2 | +4 | |
24 | XML实体引用 | 3.38 | 0 | -1 | |
25 | 代码注入 | 3.32 | 4 | +3 |
从今年的排名可知,最大威胁基本没有变化,而SQL注入在其中地位升高,可能是远程内容增多后系统数量带来的结果。在产品上线前一定要做好常见漏洞的检测![阅读原文]
发表评论
您还未登录,请先登录。
登录