La lista de CWE de las 25 vulnerabilidades de software más peligrosas muestra las fallas de software más comunes e impactantes en la actualidad. Identificar las causas fundamentales de estas vulnerabilidades brinda información para diseñar inversiones, políticas y prácticas que eviten de manera proactiva su ocurrencia.

La lista de las 25 debilidades de software más peligrosas de CWE se calculó analizando la información de vulnerabilidad pública en los registros de vulnerabilidades y exposiciones comunes (CVE) para las asignaciones de causa raíz de CWE.

El conjunto de datos de este año incluyó 31.770 registros CVE de vulnerabilidades publicadas entre el 1 de junio de 2023 y el 1 de junio de 2024. Los datos se extrajeron inicialmente el 30 de julio de 2024 para compartirlos con los socios de la comunidad de CNA para su revisión. Los datos se extrajeron nuevamente el 4 de noviembre de 2024 para garantizar que se utilizara la información de registros CVE más actualizada en los cálculos de la lista de las 25 principales.

Los 25 mejores del CWE para 2024

  1. CWE-79: Neutralización incorrecta de la entrada durante la generación de páginas web (‘Cross-site Scripting’)
  2. CWE-787: Escritura fuera de límites
  3. CWE-89: Neutralización incorrecta de elementos especiales utilizados en un comando SQL («Inyección SQL»)
  4. CWE-352: Falsificación de solicitud entre sitios (CSRF)
  5. CWE-22: Limitación incorrecta de una ruta de acceso a un directorio restringido («Recorrido de ruta»)
  6. CWE-125: Lectura fuera de límites
  7. CWE-78: Neutralización inadecuada de elementos especiales utilizados en un comando del SO (‘Inyección de comando del SO’)
  8. CWE-416: Uso después de la liberación
  9. CWE-862: Autorización faltante
  10. CWE-434: Carga sin restricciones de archivos con un tipo peligroso
  11. CWE-94: Control inadecuado de la generación de código (‘Inyección de código’)
  12. CWE-20: Validación de entrada incorrecta
  13. CWE-77: Neutralización inadecuada de elementos especiales utilizados en un comando (‘Inyección de comando’)
  14. CWE-287: Autenticación incorrecta
  15. CWE-269: Gestión inadecuada de privilegios
  16. CWE-502: Deserialización de datos no confiables
  17. CWE-200: Exposición de información confidencial a un actor no autorizado
  18. CWE-863: Autorización incorrecta
  19. CWE-918: Falsificación de solicitud del lado del servidor (SSRF)
  20. CWE-119: Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria
  21. CWE-476: Desreferencia de puntero NULL
  22. CWE-798: Uso de credenciales codificadas
  23. CWE-190: Desbordamiento de enteros o envoltura
  24. CWE-400: Consumo descontrolado de recursos
  25. CWE-306: Autenticación faltante para función crítica

Fuente y redacción: helpnetsecurity.com

Compartir