MITRE เผยลิสต์ CWE Top 25 รายการ ใน 2 ปีล่าสุด

MITRE ได้เผยถึงบั๊กที่เป็นสาเหตุของ Software Error ที่พบบ่อยและอันตราย โดยวิเคราะห์จากข้อมูลปี 2019 และ 2020

ลิสต์นี้ได้มาจากการที่ MITRE ได้ติดตามฐานข้อมูลช่องโหว่กว่า 27,000 รายการ ระหว่างปี 2019 และ 2020 จาก National Vulnerability Database (NVD) โดยมีการจัดทำดัชนีคะแนนที่ชี้วัดจากความบ่อยครั้งที่พบและความรุนแรงจากสาเหตุแห่งข้อผิดพลาดเหล่านั้น โดยจากตารางลิสต์ CWE อันดับหนึ่งก็คือ Out-of-bounds Write สำหรับ Top CWE ปี 2019 สามารถติดตามได้ที่ https://www.techtalkthai.com/mitre-cwe-top-25-most-dangerous-software-errors-2019/

RankIDNameScore
[1]CWE-787Out-of-bounds Write65.93
[2]CWE-79Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’)46.84
[3]CWE-125Out-of-bounds Read24.9
[4]CWE-20Improper Input Validation20.47
[5]CWE-78Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’)19.55
[6]CWE-89Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’)19.54
[7]CWE-416Use After Free16.83
[8]CWE-22Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’)14.69
[9]CWE-352Cross-Site Request Forgery (CSRF)14.46
[10]CWE-434Unrestricted Upload of File with Dangerous Type8.45
[11]CWE-306Missing Authentication for Critical Function7.93
[12]CWE-190Integer Overflow or Wraparound7.12
[13]CWE-502Deserialization of Untrusted Data6.71
[14]CWE-287Improper Authentication6.58
[15]CWE-476NULL Pointer Dereference6.54
[16]CWE-798Use of Hard-coded Credentials6.27
[17]CWE-119Improper Restriction of Operations within the Bounds of a Memory Buffer5.84
[18]CWE-862Missing Authorization5.47
[19]CWE-276Incorrect Default Permissions5.09
[20]CWE-200Exposure of Sensitive Information to an Unauthorized Actor4.74
[21]CWE-522Insufficiently Protected Credentials4.21
[22]CWE-732Incorrect Permission Assignment for Critical Resource4.2
[23]CWE-611Improper Restriction of XML External Entity Reference4.02
[24]CWE-918Server-Side Request Forgery (SSRF)3.78
[25]CWE-77Improper Neutralization of Special Elements used in a Command (‘Command Injection’)3.58

ที่มา : https://www.bleepingcomputer.com/news/security/mitre-updates-list-of-top-25-most-dangerous-software-bugs/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

นักวิจัยสาธิตการแฮ็กเซิร์ฟเวอร์ Oracle เพื่อแสดงให้เห็นถึงช่องโหว่ที่ร้ายแรง

สืบเนื่องมาจากความล่าช้าในการแก้ไขข้อพร่องพกนานถึง 6 เดือน กับช่องโหว่ที่นักวิจัยเรียกว่า “mega 0-day” ช่องโหว่นี้สามารถถูกใช้ได้จากทางไกลโดยไม่ต้องผ่านการพิสูจน์ตัวตน ถูกค้นพบโดย Jang และ Peterjson นักวิจัยด้านความปลอดภัย พวกเขาตั้งชื่อมันว่า The Miracle …

ฟรี eBook: คู่มือ PDPA สำหรับประชาชน

หลังจากเปิดให้ดาวน์โหลด eBook เรื่อง “คู่มือ PDPA สำหรับผู้ประกอบการ SMEs” ไปเมื่อไม่กี่วันที่ผ่านมา ล่าสุดสำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ออก eBook อีกฉบับเรื่อง “คู่มือ PDPA สำหรับประชาชน” …