CWEトップ25最も危険なソフトウェアの弱点2024年報告書
このレポートは、2024年版CWEトップ25最も危険なソフトウェアの弱点リストを参照しています。このリストは、CWEチームによって公開され、National Vulnerability Database (NVD) のCommon Vulnerabilities and Exposures (CVE®) 記録の分析に基づいて、最も深刻で一般的な弱点を強調しています。この情報は、2024年のリストがAppScan Enterpriseに統合されたことを示しています。
問題点
2024年のCWEトップ25リストは、頻繁に発見され、重大な影響を及ぼす可能性のある重要なソフトウェアの脆弱性を特定しています。これらの弱点を理解することは、開発者、テスター、プロジェクトマネージャー、そしてセキュリティ専門家が脆弱性を防ぐのに役立ちます。
これらの弱点は特に危険です。なぜなら、敵対者が見つけて悪用するのが容易であり、システムの侵害、データの盗難、またはアプリケーションの故障につながる可能性があるからです。2024年のリストを作成するために、CWEチームはNIST国立脆弱性データベース(NVD)からのCVE®データを分析し、Common Vulnerability Scoring System(CVSS)スコアを使用して、観察された普及度と深刻度に基づいて弱点をランク付けしました。
| ランク | ID | 名前 |
|---|---|---|
| 1 | CWE-79 | Web ページ生成時の入力の不適切な中立化 (「クロスサイト・スクリプティング」) |
| 2 | CWE-787 | 範囲外の書き込み |
| 3 | CWE-89 | SQL コマンドで使用される特殊要素の不適切な中立化 (「SQL 注入」) |
| 4 | CWE-352 | Cross-Site Request Forgery (クロスサイト要求偽造) (CSRF) |
| 5 | CWE-22 | 制限されたディレクトリーへのパス名の不適切な制限 (「パス・トラバーサル」) |
| 6 | CWE-125 | 範囲外の読み取り |
| 7 | CWE-78 | OS コマンドで使用される特殊要素の不適切な中立化 (「OS コマンド注入」) |
| 8 | CWE-416 | 解放後の使用 |
| 9 | CWE-862 | 許可の欠落 |
| 10 | CWE-434 | 危険なタイプのファイルの無制限なアップロード |
| 11 | CWE-94 | コード生成の不適切な制御(「コードインジェクション」) |
| 12 | CWE-20 | 不適切な入力の検証 |
| 13 | CWE-77 | コマンドで使用される特殊要素の不適切な中立化 (「コマンド注入」) |
| 14 | CWE-287 | 不適切な認証 |
| 15 | CWE-269 | 不適切な権限管理 |
| 16 | CWE-502 | 信頼できないデータの非直列化 |
| 17 | CWE-200 | 権限のないアクターへの機密情報の漏えい |
| 18 | CWE-863 | 不適切な許可 |
| 19 | CWE-918 | サーバー・サイド・リクエスト・フォージェリー (SSRF) |
| 20 | CWE-119 | メモリー・バッファー境界内での不適切な操作制限 |
| 21 | CWE-476 | NULL ポインターの逆参照 |
| 22 | CWE-798 | ハードコーディングされた資格情報の使用 |
| 23 | CWE-190 | 整数オーバーフローまたは循環 |
| 24 | CWE-400 | 制御されていないリソース消費 |
| 25 | CWE306 | 重大な機能に関する認証の欠落 |
関連情報
2024年のCWEトップ25最も危険なソフトウェアの弱点リストの詳細、方法論、各弱点の完全な説明については、次を訪問してください:CWE - 2024 CWEトップ25最も危険なソフトウェアの弱点