MITRE ชี้ Top 25 จุดอ่อนซอฟต์แวร์ที่อันตรายที่สุดแห่งปี 2024 

แม้ว่าช่องโหว่ในซอฟต์แวร์จะเป็นสิ่งที่หลีกเลี่ยงไม่ได้ แต่การปกป้องบริหารจัดการให้มีช่องโหว่น้อยที่สุดคือสิ่งที่ควรพึงกระทบ และปี 2024 นี้ทาง MITRE ได้เผยถึง Top 25 จุดอ่อนช่องโหว่ภายในซอฟต์แวร์ที่ทั้งอันตรายและพบได้บ่อยที่สุด ดังต่อไปนี้

RankIDNameScoreKEV CVEsChange
1CWE-79Cross-site Scripting56.923+1
2CWE-787Out-of-bounds Write45.2018-1
3CWE-89SQL Injection35.8840
4CWE-352Cross-Site Request Forgery (CSRF)19.570+5
5CWE-22Path Traversal12.744+3
6CWE-125Out-of-bounds Read11.423+1
7CWE-78OS Command Injection11.305-2
8CWE-416Use After Free10.195-4
9CWE-862Missing Authorization10.110+2
10CWE-434Unrestricted Upload of File with Dangerous Type10.0300
11CWE-94Code Injection7.137+12
12CWE-20Improper Input Validation6.781-6
13CWE-77Command Injection6.744+3
14CWE-287Improper Authentication5.944-1
15CWE-269Improper Privilege Management5.220+7
16CWE-502Deserialization of Untrusted Data5.075-1
17CWE-200Exposure of Sensitive Information to an Unauthorized Actor5.070+13
18CWE-863Incorrect Authorization4.052+6
19CWE-918Server-Side Request Forgery (SSRF)4.0520
20CWE-119Improper Operations Restriction in Memory Buffer Bounds3.692-3
21CWE-476NULL Pointer Dereference3.580-9
22CWE-798Use of Hard-coded Credentials3.462-4
23CWE-190Integer Overflow or Wraparound3.373-9
24CWE-400Uncontrolled Resource Consumption3.230+13
25CWE-306Missing Authentication for Critical Function2.735-5
Credit : Bleeping Computer

โดย MITRE ได้ให้คะแนนแต่ละจุดอ่อนโดยอิงจากความรุนแรง (Severity) และความถี่ (Frequency) ที่เกิดขึ้น ซึ่งหลังจากวิเคราะห์ใน 31,770 CVE ที่พบในช่วงมิถุนายน 2023 – มิถุนายน 2024 แล้ว จึงได้จัดลำดับออกมาเป็นลิสต์จุดอ่อนซอฟต์แวร์ ที่หมายถึงช่องโหว่ บั๊ก หรือ Error ที่ค้นพบในโค้ด สถาปัตยกรรม การพัฒนา หรือว่าดีไซน์ 

“เราแนะนำอย่างยิ่งที่จะให้องค์กรรีวิวลิสต์นี้ และใช้มันเพื่อสร้างกลยุทธ์ด้านความมั่นคงปลอดภัยในซอฟต์แวร์ การให้ความสำคัญกับจุดอ่อนต่าง ๆ เหล่านี้ทั้งในการพัฒนาและการจัดซื้อ จะช่วยหลีกเลี่ยงช่องโหว่ต่าง ๆ ออกไปตั้งแต่ระดับแกนการพัฒนาซอฟต์แวร์” CISA กล่าว

Credit : MITRE

สำหรับรายละเอียดเต็ม ๆ ของ 2024 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25) จากทาง MITRE สามารถอ่านเพิ่มเติมได้ที่นี่

ที่มา: https://www.bleepingcomputer.com/news/security/mitre-shares-2024s-top-25-most-dangerous-software-weaknesses/

About chatchai

Tech Writer แห่ง TechTalk Thai ที่สนใจในทุกนวัตกรรมและเทคโนโลยี

Check Also

[Video Webinar] พลิกโฉมการตรวจจับ ป้องกัน และตอบโต้ภัยคุกคามอย่างครบวงจรด้วย Splunk และ Cisco

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Splunk & Cisco Webinar เรื่อง “พลิกโฉมการตรวจจับ ป้องกัน และตอบโต้ภัยคุกคามอย่างครบวงจรด้วย Splunk และ Cisco” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

Citrix ซื้อ Unicon เสริมความมั่นคงปลอดภัยและการจัดการอุปกรณ์ปลายทาง

Citrix Systems ซึ่งเป็นหน่วยธุรกิจของ Cloud Software Group ประกาศว่าได้เข้าซื้อกิจการ Unicon ผู้ให้บริการโซลูชัน Thin Client โดยไม่เปิดเผยมูลค่า นับเป็นการซื้อกิจการครั้งที่สามของ Citrix ในช่วงไม่นานมานี้ …