Recherche
En ce moment En ce moment

/ Cybersécurité

Top 25 CWE 2024 : la méthodo évolue... et le classement aussi

MITRE a actualisé son top 25 des faiblesses logicielles. La méthdologie a sensiblement évolué d'une année sur l'autre. Le classement aussi.

Publié par Clément Bohic le - mis à jour à
Lecture
5 min
  • Imprimer
Top 25 CWE 2024 : la méthodo évolue... et le classement aussi
© Quardia Inc. - Adobe Stock

La prime aux faiblesses génériques ? La méthodologie du dernier Top 25 CWE va dans ce sens.

Les années précédentes, MITRE avait accordé une attention particulière aux CWE (faiblesses logicielles) "fréquemment mal traitées". C'est-à-dire celles susceptibles d'être associées abusivement à des CVE (vulnérabilités). Il pouvait en résulter des remappings à des CWE de plus bas niveau - par exemple, CWE-78 (injection de commande système) plutôt que CWE-77 (injection de commande).

Cette année, MITRE a donné davantage de poids aux CNA (autorités de numérotation CVE). Y compris pour la révision des mappings. Mais au bout du compte, entre celles qui n'ont pas répondu et celles qui ont décliné, seulement 27 % du dataset a effectivement été réanalysé. D'où, potentiellement, la progression - voire l'entrée - dans le Top 25 de CWE de haut niveau. CWE-77 en fait partie, comme CWE-94 (injection de code). Même chose pour CWE-400 (consommation incontrôlée de ressources), alors que CWE-770 (allocation de ressources sans limites) est parfois plus approprié.

Autre élément délégué cette année aux CNA : l'analyse des chaînes. Or, peu l'effectuent. Cela peut expliquer le recul de CWE-20 (validation incorrecte d'entrées) au profit de CWE-79 (XSS), de CWE-190 (dépassement d'entier) à la faveur de CWE-787 (écriture hors limites) ou de CWE-362 (situation de compétition) face à CWE-416 (use after free).

Plus globalement, la plupart des CWE ont, cette année, été associées à moins de CVE. MITRE y voit une conséquence potentielle de l'absence de mapping dans de nombreuses CVE publiées au premier semestre 2024 par la NVD (National Vulnerability Database)*.

Le top 25 des vulnérabilités logicielles en 2024

RangIdentifiantNatureÉvolution annuelle
1CWE-79XSS (cross-site scripting)+1
2CWE-787Écriture hors limites-1
3CWE-89Injection SQL=
4CWE-352CSRF (falsification de demande intersite)+5
5CWE-22Traversée de répertoire+3
6CWE-125Lecture hors limites+1
7CWE-78Injection de commandes système-2
8CWE-416Use after free (exploitation de zone mémoire libérée)-4
9CWE-862Autorisation manquante+2
10CWE-434Téléversement non restreint d'un type de fichier dangereux=
11CWE-94Injection de code+ 12
12CWE-20Validation incorrecte d'entrée-6
13CWE-77Injection de commande+3
14CWE-287Authentification incorrecte+7
15CWE-269Gestion de privilèges incorrecte+7
16CWE-502Désérialisation de données non approuvées-1
17CWE-200Exposition de données sensibles à un acteur non autorisé+13
18CWE-863Autorisation incorrecte+6
19CWE-918SSRF (falsification de requête côté serveur)=
20CWE-119Restriction incorrecte des opérations dans un tampon mémoire-3
21CWE-476Déréférencement de pointeur NULL-9
22CWE-798Utilisation d'authentifiants codés en dur-4
23CWE-190Dépassement d'entier-9
24CWE-400Consommation incontrôlée de ressources+13
25CWE-306Authentification manquante pour une fonction critique-5

D'une année sur l'autre, CWE-362 (situation de concurrence) sort du Top 25 (34e). Idem pour CWE-276 (permissions par défaut incorrectes ; 36e). À l'inverse, CWE-400 (consommation incontrôlée de ressources ; 37e l'an dernier) et CWE-200 (exposition d'informations sensibles à un acteur non autorisé ; 17e l'an dernier) font leur entrée.

* Classement basé sur l'analyse de 31 770 CVE publiées entre juin 2023 et juin 2024.

Illustration © Quardia Inc. - Adobe Stock

Sur le même thème

Voir tous les articles Cybersécurité

Livres Blancs

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine Se connecter
Retour haut de page