MITRE發布25個最危險的軟件弱點列表

MITRE近日發布了過去兩年最危險的25個軟件弱點列表。

軟件弱點涵蓋了廣泛的軟件安全問題，包括軟件解決方案的代碼、架構、實現或設計中的缺陷、漏洞和錯誤。

軟件弱點可能會危及安裝和運行該軟件的系統的安全，為試圖控制設備、訪問敏感數據或觸發拒絕服務狀態的惡意行為者提供入口點。

CISA今天警告說：“這些弱點會導致軟件中出現嚴重漏洞。攻擊者通常可以利用這些漏洞來控制受影響的系統、竊取數據或阻止應用程序運行。”

為了創建此列表，MITRE分析了NIST美國國家漏洞數據庫(NVD)中2021年和2022年發現和報告的43996個漏洞CVE條目，根據其嚴重性和普遍性對每個漏洞進行了評分，并重點關注添加到CISA已知被利用漏洞的CVE記錄（KEV）。

“在收集、范圍界定和重新映射過程之后，使用評分公式來計算弱點的排名順序，該排名順序結合了頻率（CWE成為漏洞根本原因的次數）以及每個漏洞被利用的平均嚴重性（通過CVSS分數衡量）。”MITRE解釋道。

MITRE公布的2023年TOP25軟件弱點非常危險，因為它們影響重大，并且在過去兩年發布的軟件中廣泛出現。

成功利用該漏洞可以使攻擊者完全控制目標系統、獲取和泄露敏感數據或觸發拒絕服務(DoS)。