MITRE組織分享了2022年最常見和最危險(xiǎn)的25個(gè)弱點(diǎn)名單，該名單可以幫助企業(yè)評(píng)估企業(yè)基礎(chǔ)設(shè)施的安全情況，MITRE表示：“如果企業(yè)的基礎(chǔ)設(shè)施涉及相關(guān)的漏洞弱點(diǎn)，就可能受到未知黑客的攻擊?！?/span>

“軟件弱點(diǎn)往往都很容易被針對(duì)，并最終會(huì)導(dǎo)致可利用漏洞的產(chǎn)品，從而讓對(duì)手完全接管系統(tǒng)、竊取數(shù)據(jù)或讓業(yè)務(wù)停擺。”MITRE在發(fā)布的公告中寫道。

據(jù)悉，MITRE綜合過去NIST、NVD數(shù)據(jù)，結(jié)合CVE與NVD的數(shù)據(jù)庫(kù)中的危害性評(píng)分，統(tǒng)計(jì)了名單列表。

以下是2022年CWE前25個(gè)最危險(xiǎn)的軟件弱點(diǎn)名單：

具體來看該榜單的幾個(gè)排名變化，有幾個(gè)弱點(diǎn)掉出了榜單排名或首次出現(xiàn)在前25名的排名中。

首先榜單上最大的變動(dòng)是：

• CWE-362(使用共享資源的并發(fā)執(zhí)行與不當(dāng)?shù)耐?“競(jìng)爭(zhēng)條件”))從第33位上升到第22位;
• CWE-94(“代碼注入”)從第28位上升到第25位;
• CWE-400(不受控制的資源消耗)從第27位上升到第23位;
• CWE-77 (“命令注入”)從第25位上升到第17位;
• CWE-476(空指針間接引用)則從第15位上升到第11位。

而下降幅度最大的是：

• CWE-306(關(guān)鍵功能認(rèn)證缺失)從第11位降低到第18位;
• CWE-200 (將敏感信息暴露給未經(jīng)授權(quán)的行為者)從第20位降低到第33位;
• CWE-522(憑證保護(hù)不足)從第21位下降到第38位;
• 最后一個(gè)是CWE-732(關(guān)鍵資源的權(quán)限分配不正確)從第22名降低至第30名。

有三條新進(jìn)入到前25名的條目，它們是：

• CWE-362 (使用共享資源的并發(fā)執(zhí)行與不當(dāng)?shù)耐?“競(jìng)爭(zhēng)條件”))從第33位升至第22位：
• CWE-94 (“代碼注入”)從第28名上升至第25名
• CWE-400 (不受控制的資源消耗)則是從第27名上升到第23名

相對(duì)的也有三條條目跌出前25名，它們是：

• CWE-200(將敏感信息暴露給未經(jīng)授權(quán)的行為者)從第20位降至第33位;
• CWE-522 (憑證保護(hù)不足)從第21位降至第38位;
• CWE-732(關(guān)鍵資源的不正確權(quán)限分配)從第22位到第30位。