Recherche

Top 25 CWE 2024 : la méthodo évolue... et le classement aussi

MITRE a actualisé son top 25 des faiblesses logicielles. La méthdologie a sensiblement évolué d'une année sur l'autre. Le classement aussi.

Publié par Clément Bohic le - mis à jour à
Lecture
5 min
  • Imprimer
Top 25 CWE 2024 : la méthodo évolue... et le classement aussi
© Quardia Inc. - Adobe Stock

La prime aux faiblesses génériques ? La méthodologie du dernier Top 25 CWE va dans ce sens.

Les années précédentes, MITRE avait accordé une attention particulière aux CWE (faiblesses logicielles) "fréquemment mal traitées". C'est-à-dire celles susceptibles d'être associées abusivement à des CVE (vulnérabilités). Il pouvait en résulter des remappings à des CWE de plus bas niveau - par exemple, CWE-78 (injection de commande système) plutôt que CWE-77 (injection de commande).

Cette année, MITRE a donné davantage de poids aux CNA (autorités de numérotation CVE). Y compris pour la révision des mappings. Mais au bout du compte, entre celles qui n'ont pas répondu et celles qui ont décliné, seulement 27 % du dataset a effectivement été réanalysé. D'où, potentiellement, la progression - voire l'entrée - dans le Top 25 de CWE de haut niveau. CWE-77 en fait partie, comme CWE-94 (injection de code). Même chose pour CWE-400 (consommation incontrôlée de ressources), alors que CWE-770 (allocation de ressources sans limites) est parfois plus approprié.

Autre élément délégué cette année aux CNA : l'analyse des chaînes. Or, peu l'effectuent. Cela peut expliquer le recul de CWE-20 (validation incorrecte d'entrées) au profit de CWE-79 (XSS), de CWE-190 (dépassement d'entier) à la faveur de CWE-787 (écriture hors limites) ou de CWE-362 (situation de compétition) face à CWE-416 (use after free).

Plus globalement, la plupart des CWE ont, cette année, été associées à moins de CVE. MITRE y voit une conséquence potentielle de l'absence de mapping dans de nombreuses CVE publiées au premier semestre 2024 par la NVD (National Vulnerability Database)*.

Le top 25 des vulnérabilités logicielles en 2024

RangIdentifiantNatureÉvolution annuelle
1CWE-79XSS (cross-site scripting)+1
2CWE-787Écriture hors limites-1
3CWE-89Injection SQL=
4CWE-352CSRF (falsification de demande intersite)+5
5CWE-22Traversée de répertoire+3
6CWE-125Lecture hors limites+1
7CWE-78Injection de commandes système-2
8CWE-416Use after free (exploitation de zone mémoire libérée)-4
9CWE-862Autorisation manquante+2
10CWE-434Téléversement non restreint d'un type de fichier dangereux=
11CWE-94Injection de code+ 12
12CWE-20Validation incorrecte d'entrée-6
13CWE-77Injection de commande+3
14CWE-287Authentification incorrecte+7
15CWE-269Gestion de privilèges incorrecte+7
16CWE-502Désérialisation de données non approuvées-1
17CWE-200Exposition de données sensibles à un acteur non autorisé+13
18CWE-863Autorisation incorrecte+6
19CWE-918SSRF (falsification de requête côté serveur)=
20CWE-119Restriction incorrecte des opérations dans un tampon mémoire-3
21CWE-476Déréférencement de pointeur NULL-9
22CWE-798Utilisation d'authentifiants codés en dur-4
23CWE-190Dépassement d'entier-9
24CWE-400Consommation incontrôlée de ressources+13
25CWE-306Authentification manquante pour une fonction critique-5

D'une année sur l'autre, CWE-362 (situation de concurrence) sort du Top 25 (34e). Idem pour CWE-276 (permissions par défaut incorrectes ; 36e). À l'inverse, CWE-400 (consommation incontrôlée de ressources ; 37e l'an dernier) et CWE-200 (exposition d'informations sensibles à un acteur non autorisé ; 17e l'an dernier) font leur entrée.

* Classement basé sur l'analyse de 31 770 CVE publiées entre juin 2023 et juin 2024.

Illustration © Quardia Inc. - Adobe Stock

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page