Las debilidades de software se refieren a fallas, errores, vulnerabilidades y errores encontrados en el código, la arquitectura, la implementación o el diseño del software. Los atacantes pueden explotarlas para violar los sistemas donde se ejecuta el software vulnerable, lo que les permite obtener el control de los dispositivos afectados y acceder a datos confidenciales o desencadenar ataques de denegación de servicio.
| Rank | ID | Name | Score | KEV CVEs | Change |
|---|---|---|---|---|---|
| 1 | CWE-79 | Cross-site Scripting | 56.92 | 3 | +1 |
| 2 | CWE-787 | Out-of-bounds Write | 45.20 | 18 | -1 |
| 3 | CWE-89 | SQL Injection | 35.88 | 4 | 0 |
| 4 | CWE-352 | Cross-Site Request Forgery (CSRF) | 19.57 | 0 | +5 |
| 5 | CWE-22 | Path Traversal | 12.74 | 4 | +3 |
| 6 | CWE-125 | Out-of-bounds Read | 11.42 | 3 | +1 |
| 7 | CWE-78 | OS Command Injection | 11.30 | 5 | -2 |
| 8 | CWE-416 | Use After Free | 10.19 | 5 | -4 |
| 9 | CWE-862 | Missing Authorization | 10.11 | 0 | +2 |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type | 10.03 | 0 | 0 |
| 11 | CWE-94 | Code Injection | 7.13 | 7 | +12 |
| 12 | CWE-20 | Improper Input Validation | 6.78 | 1 | -6 |
| 13 | CWE-77 | Command Injection | 6.74 | 4 | +3 |
| 14 | CWE-287 | Improper Authentication | 5.94 | 4 | -1 |
| 15 | CWE-269 | Improper Privilege Management | 5.22 | 0 | +7 |
| 16 | CWE-502 | Deserialization of Untrusted Data | 5.07 | 5 | -1 |
| 17 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor | 5.07 | 0 | +13 |
| 18 | CWE-863 | Incorrect Authorization | 4.05 | 2 | +6 |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) | 4.05 | 2 | 0 |
| 20 | CWE-119 | Improper Operations Restriction in Memory Buffer Bounds | 3.69 | 2 | -3 |
| 21 | CWE-476 | NULL Pointer Dereference | 3.58 | 0 | -9 |
| 22 | CWE-798 | Use of Hard-coded Credentials | 3.46 | 2 | -4 |
| 23 | CWE-190 | Integer Overflow or Wraparound | 3.37 | 3 | -9 |
| 24 | CWE-400 | Uncontrolled Resource Consumption | 3.23 | 0 | +13 |
| 25 | CWE-306 | Missing Authentication for Critical Function | 2.73 | 5 | -5 |
«A menudo fáciles de encontrar y explotar, pueden dar lugar a vulnerabilidades explotables que permiten a los adversarios tomar el control total de un sistema, robar datos o evitar que las aplicaciones funcionen», dijo MITRE. «Descubrir las causas fundamentales de estas vulnerabilidades sirve como una guía poderosa para las inversiones, políticas y prácticas para evitar que estas vulnerabilidades ocurran en primer lugar, lo que beneficia tanto a las partes interesadas de la industria como del gobierno».
Para crear la clasificación de este año, MITRE calificó cada debilidad en función de su gravedad y frecuencia después de analizar 31.770 registros de CVE en busca de vulnerabilidades que se informaron durante 2023 y 2024, con un enfoque en las fallas de seguridad agregadas al catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
CISA también publica periódicamente alertas «Secure by Design» que destacan la prevalencia de vulnerabilidades ampliamente conocidas y documentadas que aún no se han eliminado del software a pesar de las mitigaciones disponibles y efectivas.
La semana pasada, el FBI, la NSA y las autoridades de ciberseguridad Five Eyes publicaron una lista de las 15 principales vulnerabilidades de seguridad explotadas de forma rutinaria el año pasado, advirtiendo que los atacantes se centraron en atacar los días cero (fallas de seguridad que se han revelado pero que aún no se han parcheado).
Fuente y redacción: segu-info.com.ar
