2024年CWE最危險的25個軟體弱點報告
本報告參考了2024年CWE最危險的25個軟體弱點清單。這份由CWE團隊發布的清單,根據對國家漏洞數據庫(NVD)中的常見漏洞和暴露(CVE®)記錄的分析,突出了最嚴重和最普遍的弱點。這些信息反映了2024年名單的整合到AppScan Enterprise中。
重要性
2024 CWE 前 25 名列表識別出經常被發現且可能造成嚴重影響的關鍵軟體弱點。了解這些弱點有助於開發人員、測試人員、專案經理和安全專業人員預防漏洞。
這些弱點特別危險,因為對手通常很容易發現並加以利用,可能導致系統被攻破、數據被竊取或應用程式失敗。為了製作2024年的名單,CWE團隊分析了來自NIST國家漏洞數據庫(NVD)的CVE®數據,使用Common Vulnerability Scoring System(CVSS)分數根據觀察到的普遍性和嚴重性對弱點進行排名。
| 等級 | ID | 名稱 |
|---|---|---|
| 1 | CWE-79 | 不當摧毀產生網頁期間的輸入(跨網站 Scripting) |
| 2 | CWE-787 | 超出範圍寫入 |
| 3 | CWE-89 | 不當摧毀 SQL 指令中使用的特殊元素(SQL 注入) |
| 4 | CWE-352 | 偽造跨網站要求 (CSRF) |
| 5 | CWE-22 | 不當限制受限目錄的路徑名稱(路徑遍訪) |
| 6 | CWE-125 | 超出範圍讀取 |
| 7 | CWE-78 | 不當摧毀作業系統指令中使用的特殊元素(作業系統指令注入) |
| 8 | CWE-416 | 可用之後使用 |
| 9 | CWE-862 | 遺漏授權 |
| 10 | CWE-434 | 未限定上傳危險類型的檔案 |
| 11 | CWE-94 | 不當控制代碼生成(「代碼注入」) |
| 12 | CWE-20 | 輸入驗證不適當 |
| 13 | CWE-77 | 不當中性化指令中使用的特殊元素(「指令注入」) |
| 14 | CWE-287 | 不當鑑別 |
| 15 | CWE-269 | 不當的權限管理 |
| 16 | CWE-502 | 不受信任資料的解除序列化 |
| 17 | CWE-200 | 將機密資訊洩露給未獲授權的動作者 |
| 18 | CWE-863 | 不正確的授權 |
| 19 | CWE-918 | 偽造伺服器端要求 (SSRF) |
| 20 | CWE-119 | 在記憶體緩衝區範圍內不當限制作業 |
| 21 | CWE-476 | 空值指標解除參照 |
| 22 | CWE-798 | 使用寫在程式中的認證 |
| 23 | CWE-190 | 整數溢位或折返 |
| 24 | CWE-400 | 不受控制的資源消耗 |
| 25 | CWE306 | 遺漏鑑別重要功能 |
相關資訊
如需了解有關2024年CWE最危險軟體弱點前25名列表的更多詳細信息,包括方法論和每個弱點的完整描述,請訪問:CWE - 2024年CWE最危險軟體弱點前25名