TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

2022 CWE Top 25 Most Dangerous Software Weaknesses

【概要】

No 脆弱性     備考
1 CWE-787 範囲外の書き込み
2 CWE-79 Webページ生成中の入力データの不適切な処理(クロスサイトスクリプティング)
3 CWE-89 SQLコマンドで使用される特殊要素の不適切な処理(SQLインジェクション)
4 CWE-20 不適切な入力検証
5 CWE-125 範囲外の読み取り
6 CWE-78 OSコマンドで使用される特殊要素の不適切な処理(OSコマンドインジェクション)
7 CWE-416 解放したメモリの使用
8 CWE-22 制限されたディレクトリに対する不適切なパス名制限(パストラバーサル)
9 CWE-352 クロスサイトリクエストフォージェリ(CSRF)
10 CWE-434 危険なタイプのファイルのアップロード許可
11 CWE-476 NULLポインター逆参照
12 CWE-502 信頼できないデータの逆シリアル化
13 CWE-190 整数オーバーフローまたはラップアラウンド
14 CWE-287 不適切な認証
15 CWE-798 ハードコードされた資格情報の使用
16 CWE-862 認証の欠如
17 CWE-77 コマンドインジェクション
18 CWE-306 重要な機能の使用に対する認証の欠如
19 CWE-119 メモリバッファ境界内での不適切な処理制限
20 CWE-276 不適切なデフォルトパーミッション
21 CWE-918 サーバーサイド リクエストフォージェリ
22 CWE-362 競合状態
23 CWE-400 制御されていないリソース消費
24 CWE-611 XML外部エンティティ参照の不適切な制限
25 CWE-94 不適切な制御コード生成(コードインジェクション)
- CWE-200 権限を持たないユーザへの機密情報の漏洩
- CWE-732 重要なリソースの不正な権限割り当て
- CWE-522 十分に保護されていない資格情報
- CWE-269 不適切な権限管理


【公開情報】

◆2022 CWE Top 25 Most Dangerous Software Weaknesses (CISA, 2022/06/28)
https://www.cisa.gov/uscert/ncas/current-activity/2022/06/28/2022-cwe-top-25-most-dangerous-software-weaknesses


【関連まとめ記事】

全体まとめ
 ◆セキュリティ機関 (まとめ)

◆CISA (まとめ)
https://vul.hatenadiary.com/entry/CISA

 ◆攻撃手法 (まとめ)

◆OSコマンドインジェクション (まとめ)
https://vul.hatenadiary.com/entry/OS_Command_Injection

◆XSS / クロスサイトスクリプティング (まとめ)
https://vul.hatenadiary.com/entry/XSS


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022