MITRE公布22年常见漏洞Top25

阅读量    2648 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

MITRE发布22年份的25个常见且危险的漏洞列表,帮助企业和机构针对性防护和修复。

MITRE对NVD库中37899个CVE进行分析后,进行了评分和排名,把前25个类别单列出来,供安全圈参考。今年的冠军仍是由越界写取得,详细列表如下:

排名 编号 类别 分数 KEV分数 排名变化
1 CWE-787 越界写 64.20 62 0
2 CWE-79 XSS 45.97 2 0
3 CWE-89 SQL注入 22.11 7 +3
4 CWE-20 输入验证不当 20.63 20 0
5 CWE-125 越界读 17.67 1 -2
6 CWE-78 操作系统命令注入 17.53 32 -1
7 CWE-416 UAF 15.50 28 0
8 CWE-22 路径遍历 14.08 19 0
9 CWE-352 CSRF 11.53 1 0
10 CWE-434 文件上传 9.56 6 0
11 CWE-476 空指针解引用 7.15 0 +4
12 CWE-502 反序列化 6.68 7 +1
13 CWE-190 溢出 6.53 2 -1
14 CWE-287 身份验证不当 6.35 4 0
15 CWE-798 硬编码凭证 5.66 0 +1
16 CWE-862 授权缺失 5.53 1 +2
17 CWE-77 命令注入 5.42 5 +8
18 CWE-306 关键功能授权缺失 5.15 6 -7
19 CWE-119 内存错误 4.85 6 -2
20 CWE-276 默认证书配置错误 4.84 0 -1
21 CWE-918 SSRF 4.27 8 +3
22 CWE-362 条件竞争 3.57 6 +11
23 CWE-400 资源消耗 3.56 2 +4
24 CWE-611 XML实体引用 3.38 0 -1
25 CWE-94 代码注入 3.32 4 +3

从今年的排名可知,最大威胁基本没有变化,而SQL注入在其中地位升高,可能是远程内容增多后系统数量带来的结果。在产品上线前一定要做好常见漏洞的检测![阅读原文]

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多