TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

MITRE、危険な脆弱性タイプのトップ25を発表

【概要】

順位
脆弱性タイプ
第1位 Out-of-bounds Write(CWE-787)
第2位 Cross-site Scripting(CWE-79)
第3位 Out-of-bounds Read(CWE-125)
第4位 Improper Input Validation(CWE-20)
第5位 OS Command Injection(CWE-78)
第6位 SQL Injection(CWE-89)
第7位 Use After Free(CWE-416)
第8位 Path Traversal(CWE-22)
第9位 Cross-Site Request Forgery(CWE-352)
第10位 Unrestricted Upload of File with Dangerous Type(CWE-434)
第11位 Missing Authentication for Critical Function(CWE-306)
第12位 Integer Overflow or Wraparound(CWE-190)
第13位 Deserialization of Untrusted Data(CWE-502)
第14位 Improper Authentication(CWE-287)
第15位 NULL Pointer Dereference(CWE-476)
第16位 Use of Hard-coded Credentials(CWE-798)
第17位 Improper Restriction of Operations within the Bounds of a Memory Buffer(CWE-119)
第18位 Missing Authorization(CWE-862)
第19位 Incorrect Default Permissions(CWE-276)
第20位 Exposure of Sensitive Information to an Unauthorized Actor(CWE-200)
第21位 Insufficiently Protected Credentials(CWE-522)
第22位 Incorrect Permission Assignment for Critical Resource(CWE-732)
第23位 Improper Restriction of XML External Entity Reference(CWE-611)
第24位 Server-Side Request Forgery(CWE-918)
第25位 Command Injection(CWE-77)
第26位 Improper Certificate Validation(CWE-295)
第27位 Uncontrolled Resource Consumption(CWE-400)
第28位 Code Injection(CWE-94)
第29位 Improper Privilege Management(CWE-269)
第30位 Expression Language Injection(CWE-917)
第31位 Link Following(CWE-59)
第32位 Missing Release of Memory after Effective Lifetime(CWE-401)
第33位 Race Condition(CWE-362)
第34位 Uncontrolled Search Path Element(CWE-427)
第35位 Cleartext Transmission of Sensitive Information(CWE-319)
第36位 Type Confusion(CWE-843)
第37位 Open Redirect(CWE-601)
第38位 Incorrect Authorization(CWE-863)
第39位 Insertion of Sensitive Information into Log File(CWE-532)
第40位 Allocation of Resources Without Limits or Throttling(CWE-770)


【ニュース】

◆MITRE、危険な脆弱性タイプのトップ25を発表 (Security NEXT, 2021/07/28)
https://www.security-next.com/128494


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022