Mitre发布了25个危险漏洞

最近，Mitre发布了2020年最危险的25个软件漏洞；该列表明确列出了CWE Top 25（2019）中遇到的最流行和最具影响力的漏洞。

安全专家断言，这些软件漏洞很危险，因为它们通常很容易被发现及利用。此外，这些漏洞使攻击者可以完全劫持系统、窃取数据或停止应用程序的运行。

CWE top 25是一个有价值的信息资源，它将帮助开发人员、研究人员以及用户保护其业务。此外，CWE可以渗透到最严重和最新的安全漏洞。

25个最危险的软件漏洞

分析报告

今年的CWE排名前25名名单已将其做了对比，合理安排顺序。虽然一些类别的漏洞仍然存在于列表中，但是这些漏洞在排名中已下降。 

安全研究人员申明，这一行动将继续下去，因为每年都会有更先进和危险的漏洞出现。

如果我们合理的排列顺序，则可以认识到不同类别的漏洞，例如CWE-119（在内存缓冲区范围内对操作的不适当限制），CWE-20（错误输入验证）和CWE- 200（向未经授权的攻击者暴露敏感信息）都向下移动了一些位置。

另一方面，例如CWE-79（网页生成过程中输入的不正确中和），CWE-787（越界写入）和CWE-125（越界读取）被移到了最前面。

除了这种漏洞之外，还有另一个特定的移动映射的结果，CWE-772（有效生命周期后资源丢失释放）在列表中排在第21位。正如我们所说的那样，这一行动将继续下去，并且每年都会引入新的具体漏洞。

与身份验证和授权相关的漏洞

列表中最重要的与身份验证和授权相关的四个主要漏洞，下面将进行介绍：

· CWE-522（凭据保护不足）：从27到18

· CWE-306（关键功能缺少认证）：从36到24

· CWE-862（缺少授权）：从34到25

· CWE-863（错误授权）：从33到29

方法

这个新列表非常专业，因为它是通过从NVD获取所有已发布的漏洞数据而开发的。NVD从CVE获取这些漏洞数据，然后扩展这些漏洞以及其他分析和信息。

此信息包括到一个或多个漏洞的映射，同时包括CVSS评分，CVSS评分是一个数字评分，概述了所有这些漏洞的可能严重程度，这些漏洞通常基于与漏洞有关的一组受管制的功能。

此外，与2018年和2019年的榜单相比，今年的榜单更具影响力。然而，为了确定CWE的频率，评分公式决定了CWE映射到NVD的CVE的次数。