【概要】
| No | 脆弱性 | 備考 |
|---|---|---|
| 1 | CWE-787 | 範囲外の書き込み |
| 2 | CWE-79 | Webページ生成中の入力データの不適切な処理(クロスサイトスクリプティング) |
| 3 | CWE-89 | SQLコマンドで使用される特殊要素の不適切な処理(SQLインジェクション) |
| 4 | CWE-20 | 不適切な入力検証 |
| 5 | CWE-125 | 範囲外の読み取り |
| 6 | CWE-78 | OSコマンドで使用される特殊要素の不適切な処理(OSコマンドインジェクション) |
| 7 | CWE-416 | 解放したメモリの使用 |
| 8 | CWE-22 | 制限されたディレクトリに対する不適切なパス名制限(パストラバーサル) |
| 9 | CWE-352 | クロスサイトリクエストフォージェリ(CSRF) |
| 10 | CWE-434 | 危険なタイプのファイルのアップロード許可 |
| 11 | CWE-476 | NULLポインター逆参照 |
| 12 | CWE-502 | 信頼できないデータの逆シリアル化 |
| 13 | CWE-190 | 整数オーバーフローまたはラップアラウンド |
| 14 | CWE-287 | 不適切な認証 |
| 15 | CWE-798 | ハードコードされた資格情報の使用 |
| 16 | CWE-862 | 認証の欠如 |
| 17 | CWE-77 | コマンドインジェクション |
| 18 | CWE-306 | 重要な機能の使用に対する認証の欠如 |
| 19 | CWE-119 | メモリバッファ境界内での不適切な処理制限 |
| 20 | CWE-276 | 不適切なデフォルトパーミッション |
| 21 | CWE-918 | サーバーサイド リクエストフォージェリ |
| 22 | CWE-362 | 競合状態 |
| 23 | CWE-400 | 制御されていないリソース消費 |
| 24 | CWE-611 | XML外部エンティティ参照の不適切な制限 |
| 25 | CWE-94 | 不適切な制御コード生成(コードインジェクション) |
| - | CWE-200 | 権限を持たないユーザへの機密情報の漏洩 |
| - | CWE-732 | 重要なリソースの不正な権限割り当て |
| - | CWE-522 | 十分に保護されていない資格情報 |
| - | CWE-269 | 不適切な権限管理 |
【公開情報】
◆2022 CWE Top 25 Most Dangerous Software Weaknesses (CISA, 2022/06/28)
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/28/2022-cwe-top-25-most-dangerous-software-weaknesses
【関連まとめ記事】
◆CISA (まとめ)
https://vul.hatenadiary.com/entry/CISA
◆OSコマンドインジェクション (まとめ)
https://vul.hatenadiary.com/entry/OS_Command_Injection
◆XSS / クロスサイトスクリプティング (まとめ)
https://vul.hatenadiary.com/entry/XSS
