Эксперты MITRE традиционно
25 самых распространенных и опасных уязвимостей в программном обеспечении.
В этом году для его создания использовали 31 000 уязвимостей, раскрытых в период с июня 2023 по июнь 2024 года.
Под уязвимостями в ПО подразумеваются самые разные проблемы, баги, уязвимости и ошибки, обнаруженные в коде, архитектуре, имплементациях или дизайне софта. Такие угрозы могут поставить под угрозу безопасность систем, где установлено и работает проблемное ПО. Они могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.
Для составления рейтинга 2024 года MITRE проанализировала 31 770 различных CVE, найденных в 2023 и 2024 годах, уделяя особое внимание проблемам, которые были добавлены в известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), которым управляет Агентство по кибербезопасности и защите инфраструктуры США (CISA).
Отметим, что проблемы в списке MITRE имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.
В 2024 году для CWE насчитывается почти 1000 разных категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).
Список топ-25 CWE 2024 года, составленный специалистами MITRE, выглядит следующим образом:
В этом году для его создания использовали 31 000 уязвимостей, раскрытых в период с июня 2023 по июнь 2024 года.
Под уязвимостями в ПО подразумеваются самые разные проблемы, баги, уязвимости и ошибки, обнаруженные в коде, архитектуре, имплементациях или дизайне софта. Такие угрозы могут поставить под угрозу безопасность систем, где установлено и работает проблемное ПО. Они могут стать точкой входа для злоумышленников, пытающихся получить контроль над уязвимыми устройствами, помогут атакующим получить доступ к конфиденциальным данным или спровоцировать отказ в обслуживании.
Для составления рейтинга 2024 года MITRE проанализировала 31 770 различных CVE, найденных в 2023 и 2024 годах, уделяя особое внимание проблемам, которые были добавлены в известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), которым управляет Агентство по кибербезопасности и защите инфраструктуры США (CISA).
Отметим, что проблемы в списке MITRE имеют собственные идентификаторы CWE (не путать с CVE) — Common Weakness Enumeration. CWE отличаются от CVE тем, что, по сути, первые являются предшественниками вторых, то есть CWE приводят к появлению непосредственно уязвимостей.
В 2024 году для CWE насчитывается почти 1000 разных категорий, которые объединяют в себе весьма обширные классы разнообразных проблем, например, CWE-20 (некорректная проверка вводимых данных), CWE- 200 (раскрытие информации) и CWE-287 (некорректная аутентификация).
Список топ-25 CWE 2024 года, составленный специалистами MITRE, выглядит следующим образом:
| Место | ID | Проблема | Оценка | Количество KEV (CVE) | По сравнению с 2023 годом |
| 1 | Некорректная нейтрализация ввода во время генерации веб-страницы (XSS, межсайтовый скриптинг) | 56.92 | 3 | +1 | |
| 2 | Out-of-bounds запись | 45.20 | 18 | -1 | |
| 3 | SQL-инъекция | 35.88 | 4 | 0 | |
| 4 | Подделка межсайтовых запросов (CSRF) | 19.57 | 0 | +5 | |
| 5 | Обход каталога (Path Traversal) | 12.74 | 4 | +3 | |
| 6 | Out-of-bounds чтение | 11.42 | 3 | +1 | |
| 7 | Инъекция команд на уровне ОС | 11.30 | 5 | -2 | |
| 8 | Use After Free | 10.19 | 5 | -4 | |
| 9 | Отсутствие аутентификации | 10.11 | 0 | +2 | |
| 10 | Неограниченная загрузка файлов опасного типа | 10.03 | 0 | 0 | |
| 11 | Инъекция кода | 7.13 | 7 | +12 | |
| 12 | Некорректная проверка ввода | 6.78 | 1 | -6 | |
| 13 | Инъекция команд | 6.74 | 4 | +3 | |
| 14 | Некорректная аутентификация | 5.94 | 4 | -1 | |
| 15 | Некорректное управление привилегиями | 5.22 | 0 | +7 | |
| 16 | Десериализация недоверенных данных | 5.07 | 5 | -1 | |
| 17 | Раскрытие чувствительных данных неавторизованному лицу | 5.07 | 0 | +13 | |
| 18 | Некорректная авторизация | 4.05 | 2 | +6 | |
| 19 | Подделка запросов на стороне сервера (SSRF) | 4.05 | 2 | 0 | |
| 20 | Некорректное ограничение операций в пределах буфера памяти | 3.69 | 2 | -3 | |
| 21 | Разыменование нулевого указателя | 3.58 | 0 | -9 | |
| 22 | Использование жестко закодированных учетных данных | 3.46 | 2 | -4 | |
| 23 | Целочисленное переполнение или перенос | 3.37 | 3 | -9 | |
| 24 | Неконтролируемое потребление ресурсов | 3.23 | 0 | +13 | |
| 25 | Отсутствие аутентификации для критической функции | 2.73 | 5 | -5 |
