MITRE ha actualizado su lista de las 25 principales debilidades de software más peligrosas de Common Weakness Enumeration (CWE) de los últimos dos años. Esas debilidades de software son errores o fallas que pueden conducir a vulnerabilidades. A diferencia del sistema de vulnerabilidades y exposiciones comunes (CVE), que proporciona un número para cada vulnerabilidad descubierta, la enumeración de debilidades comunes (CWE) se refiere a tipos de debilidad de software en lugar de vulnerabilidades específicas.
La escritura fuera de los límites, que podría permitir a un atacante sobrescribir ciertos valores en la memoria para hacer que la información no esté disponible, es la debilidad más común, seguida de secuencias de comandos entre sitios e inyección de SQL, uso después de la liberación, inyección de comandos del sistema operativo, validación de entrada incorrecta, lectura fuera de los límites, recorrido de ruta y falsificación de solicitud entre sitios (CSRF).
Desde CISA, la Agencia de Cibersegurfidad e Insfraestructura de Estados Unidos, explican que “el CWE Top 25 se calcula analizando los datos públicos de vulnerabilidad en los Datos Nacionales de Vulnerabilidad (NVD) para mapear la causa raíz de las debilidades de CWE durante los dos años calendario anteriores. Estas debilidades conducen a serias vulnerabilidades en el software. Un atacante a menudo puede explotar estas vulnerabilidades para tomar el control de un sistema afectado, robar datos o evitar que las aplicaciones funcionen”.
El análisis de tendencias sobre datos de vulnerabilidad como este permite a las organizaciones tomar mejores decisiones de inversión y políticas en la gestión de vulnerabilidades.
CISA ha pedido a los desarrolladores y equipos de seguridad de productos a revisar la lista y decidir cuál de las mitigaciones recomendadas adoptar. Explicó que se publicarán más artículos en las próximas semanas para explicar la metodología utilizada para calcular los 25 principales, las tendencias de mapeo de vulnerabilidades y más.
