MITRE发布25个最危险的软件弱点列表

MITRE近日发布了过去两年最危险的25个软件弱点列表。

软件弱点涵盖了广泛的软件安全问题，包括软件解决方案的代码、架构、实现或设计中的缺陷、漏洞和错误。

软件弱点可能会危及安装和运行该软件的系统的安全，为试图控制设备、访问敏感数据或触发拒绝服务状态的恶意行为者提供入口点。

CISA今天警告说：“这些弱点会导致软件中出现严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。”

为了创建此列表，MITRE分析了NIST美国国家漏洞数据库(NVD)中2021年和2022年发现和报告的43996个漏洞CVE条目，根据其严重性和普遍性对每个漏洞进行了评分，并重点关注添加到CISA已知被利用漏洞的CVE记录（KEV）。

“在收集、范围界定和重新映射过程之后，使用评分公式来计算弱点的排名顺序，该排名顺序结合了频率（CWE成为漏洞根本原因的次数）以及每个漏洞被利用的平均严重性（通过CVSS分数衡量）。”MITRE解释道。

MITRE公布的2023年TOP25软件弱点非常危险，因为它们影响重大，并且在过去两年发布的软件中广泛出现。

成功利用该漏洞可以使攻击者完全控制目标系统、获取和泄露敏感数据或触发拒绝服务(DoS)。