【概要】

Rank	ID	Name	Score	KEV Count (CVEs)	Rank Change vs. 2021
1	CWE-787	境界外への書き込み	64.20	62	⇔
2	CWE-79	Webページ生成時の入力の不適切な無害化（「クロスサイトスクリプティング」）	45.97	2	⇔
3	CWE-89	SQLコマンドで使用される特殊な要素の不適切な無害化（「SQLインジェクション」）	22.11	7	+3 △
4	CWE-20	不適切な入力バリデーション	20.63	20	⇔
5	CWE-125	境界外読出し	17.67	1	-2 ▼
6	CWE-78	OSコマンドで使用される特殊要素の不適切な無害化（「OSコマンドインジェクション」）	17.53	32	-1 ▼
7	CWE-416	解放済みメモリの使用	15.50	28	⇔
8	CWE-22	制限されたディレクトリへのパス名の不適切な制限（「パストラバーサル」）	14.08	19	⇔
9	CWE-352	クロスサイトリクエストフォージェリ(CSRF)	11.53	1	⇔
10	CWE-434	危険なタイプのファイルの無制限アップロード	9.56	6	⇔
11	CWE-476	NULLポインタデリファレンス	7.15	0	+4 △
12	CWE-502	信頼できないデータのデシリアライズ	6.68	7	+1 △
13	CWE-190	整数のオーバーフローまたはラップアラウンド	6.53	2	-1 ▼
14	CWE-287	不適切な認証	6.35	4	⇔
15	CWE-798	ハードコードされたクレデンシャルの利用	5.66	0	+1 △
16	CWE-862	認証の欠落	5.53	1	+2 △
17	CWE-77	コマンドで使用される特殊要素の不適切な無害化（「コマンド・インジェクション」）	5.42	5	+8 △
18	CWE-306	重要な機能に対する認証の欠落	5.15	6	-7 ▼
19	CWE-119	メモリバッファの範囲内での操作の不適切な制限	4.85	6	-2 ▼
20	CWE-276	不正なデフォルトのアクセス権	4.84	0	-1 ▼
21	CWE-918	サーバーサイドリクエストフォージェリ(SSRF)	4.27	8	+3 △
22	CWE-362	不適切な同期による共有リソースの同時実行（「レースコンディション」）	3.57	6	+11 △
23	CWE-400	無制限のリソース消費	3.56	2	+4 △
24	CWE-611	XML外部エンティティ参照の不適切な制限	3.38	0	-1 ▼
25	CWE-94	コード生成の不適切な制御（「コードインジェクション」）	3.32	4	+3 △

【ニュース】

◆2022年における危険な脆弱性タイプのトップ25が明らかに (Security NEXT, 2022/06/30)
https://www.security-next.com/137747

【詳細】

Rank	ID	Name	Score	KEV Count (CVEs)	Rank Change vs. 2021
1	CWE-787	Out-of-bounds Write	64.20	62	0
2	CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')	45.97	2	0
3	CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')	22.11	7	+3 upward trend
4	CWE-20	Improper Input Validation	20.63	20	0
5	CWE-125	Out-of-bounds Read	17.67	1	-2 downward trend
6	CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')	17.53	32	-1 downward trend
7	CWE-416	Use After Free	15.50	28	0
8	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')	14.08	19	0
9	CWE-352	Cross-Site Request Forgery (CSRF)	11.53	1	0
10	CWE-434	Unrestricted Upload of File with Dangerous Type	9.56	6	0
11	CWE-476	NULL Pointer Dereference	7.15	0	+4 upward trend
12	CWE-502	Deserialization of Untrusted Data	6.68	7	+1 upward trend
13	CWE-190	Integer Overflow or Wraparound	6.53	2	-1 downward trend
14	CWE-287	Improper Authentication	6.35	4	0
15	CWE-798	Use of Hard-coded Credentials	5.66	0	+1 upward trend
16	CWE-862	Missing Authorization	5.53	1	+2 upward trend
17	CWE-77	Improper Neutralization of Special Elements used in a Command ('Command Injection')	5.42	5	+8 upward trend
18	CWE-306	Missing Authentication for Critical Function	5.15	6	-7 downward trend
19	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer	4.85	6	-2 downward trend
20	CWE-276	Incorrect Default Permissions	4.84	0	-1 downward trend
21	CWE-918	Server-Side Request Forgery (SSRF)	4.27	8	+3 upward trend
22	CWE-362	Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')	3.57	6	+11 upward trend
23	CWE-400	Uncontrolled Resource Consumption	3.56	2	+4 upward trend
24	CWE-611	Improper Restriction of XML External Entity Reference	3.38	0	-1 downward trend
25	CWE-94	Improper Control of Generation of Code ('Code Injection')	3.32	4	+3 upward trend

【関連まとめ記事】

◆全体まとめ
　◆攻撃手法 (まとめ)

◆OSコマンドインジェクション (まとめ)
https://vul.hatenadiary.com/entry/OS_Command_Injection

◆XSS / クロスサイトスクリプティング (まとめ)
https://vul.hatenadiary.com/entry/XSS