Rapport 2024 sur les 25 faiblesses logicielles les plus dangereuses selon CWE
Ce rapport fait référence à la liste des 25 faiblesses logicielles les plus dangereuses du CWE pour 2024. Cette liste, publiée par l'équipe CWE, met en lumière les faiblesses les plus graves et les plus courantes, basées sur une analyse des enregistrements des Vulnérabilités et Expositions Communes (CVE®) de la Base de Données Nationale des Vulnérabilités (NVD). Cette information reflète l'intégration de la liste 2024 dans AppScan Enterprise.
Pourquoi est-ce important
La liste des 25 principales faiblesses du CWE 2024 identifie des faiblesses logicielles critiques qui sont fréquemment découvertes et peuvent avoir des impacts sévères. Comprendre ces faiblesses aide les développeurs, les testeurs, les chefs de projet et les professionnels de la sécurité à prévenir les vulnérabilités.
Ces faiblesses sont particulièrement dangereuses car elles sont souvent faciles à identifier et à exploiter par les adversaires, ce qui peut potentiellement conduire à une compromission du système, un vol de données ou une défaillance de l'application. Pour créer la liste 2024, l'équipe CWE a analysé les données CVE® de la base de données nationale des vulnérabilités (NVD) du NIST, en utilisantCommon Vulnerability Scoring System les scores (CVSS) pour classer les faiblesses par prévalence et gravité observées.
| Rang | ID | Nom |
|---|---|---|
| 1 | CWE-79 | Neutralisation incorrecte de l'entrée pendant la génération de page Web ("Scriptage intersite") |
| 2 | CWE-787 | Écriture hors limites |
| 3 | CWE-89 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande SQL ('Injection SQL') |
| 4 | CWE-352 | Falsification de requêtes intersite (CSRF) |
| 5 | CWE-22 | Limitation incorrecte d'un nom de chemin à un répertoire restreint ('Traversée de répertoires') |
| 6 | CWE-125 | Lecture hors limites |
| 7 | CWE-78 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande OS ('Injection de commandes OS') |
| 8 | CWE-416 | Utiliser après la gratuité |
| 9 | CWE-862 | Autorisation manquante |
| 10 | CWE-434 | Téléchargement amont non restreint d'un fichier de type dangereux |
| 11 | CWE-94 | Contrôle inadéquat de la génération de code ('Injection de code') |
| 12 | CWE-20 | Mauvaise validation des entrées |
| 13 | CWE-77 | Neutralisation incorrecte des éléments spéciaux utilisés dans une commande ('Injection de commandes') |
| 14 | CWE-287 | Authentification incorrecte |
| 15 | CWE-269 | Gestion Inappropriée des Privilèges |
| 16 | CWE-502 | Désérialisation de données non fiables |
| 17 | CWE-200 | Exposition d'informations sensibles à un acteur non autorisé |
| 18 | CWE-863 | Autorisation incorrecte |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) |
| 20 | CWE-119 | Restriction incorrecte des opérations dans les limites d'une mémoire tampon |
| 21 | CWE-476 | Déréférencement du pointeur NULL |
| 22 | CWE-798 | Utilisation de données d'identification codées en dur |
| 23 | CWE-190 | Dépassement ou bouclage d'entier |
| 24 | CWE-400 | Consommation de ressources non maîtrisée |
| 25 | CWE306 | Absence d'authentification pour une fonction critique |
Informations connexes
Pour plus de détails sur la liste des 25 faiblesses logicielles les plus dangereuses de 2024 selon CWE, y compris la méthodologie et une description complète de chaque faiblesse, visitez : CWE - 2024 CWE Top 25 Most Dangerous Software Weaknesses