Bl0ckch41nnewsMITRE publica las 25 debilidades de software más peligrosas de 2024 (CWE)
Como cada año, MITRE ha compartido la lista de las
25 principales debilidades
de software más comunes y peligrosas de este año, detrás de más de 31.000
vulnerabilidades reveladas entre junio de 2023 y junio de 2024.
Las debilidades de software se refieren a fallas, errores, vulnerabilidades y
errores encontrados en el código, la arquitectura, la implementación o el
diseño del software. Los atacantes pueden explotarlas para violar los sistemas
donde se ejecuta el software vulnerable, lo que les permite obtener el control
de los dispositivos afectados y acceder a datos confidenciales o desencadenar
ataques de denegación de servicio.
| Rank | ID | Name | Score | KEV CVEs | Change |
|---|---|---|---|---|---|
| 1 | CWE-79 | Cross-site Scripting | 56.92 | 3 | +1 |
| 2 | CWE-787 | Out-of-bounds Write | 45.20 | 18 | -1 |
| 3 | CWE-89 | SQL Injection | 35.88 | 4 | 0 |
| 4 | CWE-352 | Cross-Site Request Forgery (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | Path Traversal | 12.74 | 4 | +3 |
| 6 | CWE-125 | Out-of-bounds Read | 11.42 | 3 | +1 |
| 7 | CWE-78 | OS Command Injection | 11.30 | 5 | -2 |
| 8 | CWE-416 | Use After Free | 10.19 | 5 | -4 |
| 9 | CWE-862 | Missing Authorization | 10.11 | 0 | +2 |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 10.03 | 0 | 0 |
| 11 | CWE-94 | Code Injection | 7.13 | 7 | +12 |
| 12 | CWE-20 | Improper Input Validation | 6.78 | 1 | -6 |
| 13 | CWE-77 | Command Injection | 6.74 | 4 | +3 |
| 14 | CWE-287 | Improper Authentication | 5.94 | 4 | -1 |
| 15 | CWE-269 | Improper Privilege Management | 5.22 | 0 | +7 |
| 16 | CWE-502 | Deserialization of Untrusted Data | 5.07 | 5 | -1 |
| 17 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 5.07 | 0 | +13 |
| 18 | CWE-863 | Incorrect Authorization | 4.05 | 2 | +6 |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Improper Operations Restriction in Memory Buffer Bounds | 3.69 | 2 | -3 |
| 21 | CWE-476 | NULL Pointer Dereference | 3.58 | 0 | -9 |
| 22 | CWE-798 | Use of Hard-coded Credentials | 3.46 | 2 | -4 |
| 23 | CWE-190 | Integer Overflow or Wraparound | 3.37 | 3 | -9 |
| 24 | CWE-400 | Uncontrolled Resource Consumption | 3.23 | 0 | +13 |
| 25 | CWE-306 | Missing Authentication for Critical Function | 2.73 | 5 | -5 |
«A menudo fáciles de encontrar y explotar, pueden dar lugar a
vulnerabilidades explotables que permiten a los adversarios tomar el control
total de un sistema, robar datos o evitar que las aplicaciones funcionen»,
dijo MITRE.
«Descubrir las causas fundamentales de estas vulnerabilidades sirve como
una guía poderosa para las inversiones, políticas y prácticas para evitar
que estas vulnerabilidades ocurran en primer lugar, lo que beneficia tanto a
las partes interesadas de la industria como del gobierno».
Para crear la clasificación de este año, MITRE calificó cada debilidad en
función de su gravedad y frecuencia después de analizar 31.770 registros de
CVE en busca de vulnerabilidades que se informaron durante 2023 y 2024, con un
enfoque en las fallas de seguridad agregadas al
catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
CISA también publica periódicamente alertas
«Secure by Design»
que destacan la prevalencia de vulnerabilidades ampliamente conocidas y
documentadas que aún no se han eliminado del software a pesar de las
mitigaciones disponibles y efectivas.
La semana pasada, el FBI, la NSA y las autoridades de ciberseguridad Five Eyes
publicaron una lista de las 15 principales vulnerabilidades de seguridad
explotadas de forma rutinaria el año pasado, advirtiendo que los atacantes se
centraron en atacar los días cero (fallas de seguridad que se han revelado
pero que aún no se han parcheado).
Fuente:
BC
Los comentarios están cerrados.