MITRE公布2022年最常見和最危險的25個弱點名單,幫助企業評估網路基礎設施的安全狀況。
MITRE表示:「如果企業的基礎網路架構存在名單中的漏洞弱點,就可能受到未知駭客的攻擊。軟體弱點往往都很容易被鎖定,並導致可利用漏洞的攻擊,從而讓惡意行為者完全接管系統、竊取資料或讓業務停擺。」
MITRE綜合過去NIST、NVD資料,結合CVE與NVD的資料庫中的危害性評分,總結了本份名單。與去年的名單相比,幾個排名變化包含:
- CWE-362(使用共用資源的併發執行與不當的同步)從第33名次上升到第22名次;
- CWE-94(代碼注入)從第28名次上升到第25名次;
- CWE-400(不受控制的資源消耗)從第27名次上升到第23名次;
- CWE-77 (命令注入)從第25名次上升到第17名次;
- CWE-476(空指針間接引用)則從第15名次上升到第11名次。
而下降幅度最大的是:
- CWE-306(關鍵功能認證缺失)從第11名次降低到第18名次;
- CWE-200 (將敏感資訊暴露給未經授權的行為者)從第20名次降低到第33名次;
- CWE-522(憑證保護不足)從第21名次下降到第38名次;
- CWE-732(關鍵資源的許可權分配不正確)從第22名降低至第30名。