Se connecter
Top 25 CWE 2024 : la méthodo évolue... et le classement aussi
MITRE a actualisé son top 25 des faiblesses logicielles. La méthdologie a sensiblement évolué d'une année sur l'autre. Le classement aussi.
La prime aux faiblesses génériques ? La méthodologie du dernier Top 25 CWE va dans ce sens.
Les années précédentes, MITRE avait accordé une attention particulière aux CWE (faiblesses logicielles) "fréquemment mal traitées". C'est-à-dire celles susceptibles d'être associées abusivement à des CVE (vulnérabilités). Il pouvait en résulter des remappings à des CWE de plus bas niveau - par exemple, CWE-78 (injection de commande système) plutôt que CWE-77 (injection de commande).
Cette année, MITRE a donné davantage de poids aux CNA (autorités de numérotation CVE). Y compris pour la révision des mappings. Mais au bout du compte, entre celles qui n'ont pas répondu et celles qui ont décliné, seulement 27 % du dataset a effectivement été réanalysé. D'où, potentiellement, la progression - voire l'entrée - dans le Top 25 de CWE de haut niveau. CWE-77 en fait partie, comme CWE-94 (injection de code). Même chose pour CWE-400 (consommation incontrôlée de ressources), alors que CWE-770 (allocation de ressources sans limites) est parfois plus approprié.
Autre élément délégué cette année aux CNA : l'analyse des chaînes. Or, peu l'effectuent. Cela peut expliquer le recul de CWE-20 (validation incorrecte d'entrées) au profit de CWE-79 (XSS), de CWE-190 (dépassement d'entier) à la faveur de CWE-787 (écriture hors limites) ou de CWE-362 (situation de compétition) face à CWE-416 (use after free).
Plus globalement, la plupart des CWE ont, cette année, été associées à moins de CVE. MITRE y voit une conséquence potentielle de l'absence de mapping dans de nombreuses CVE publiées au premier semestre 2024 par la NVD (National Vulnerability Database)*.
Le top 25 des vulnérabilités logicielles en 2024
| Rang | Identifiant | Nature | Évolution annuelle |
| 1 | CWE-79 | XSS (cross-site scripting) | +1 |
| 2 | CWE-787 | Écriture hors limites | -1 |
| 3 | CWE-89 | Injection SQL | = |
| 4 | CWE-352 | CSRF (falsification de demande intersite) | +5 |
| 5 | CWE-22 | Traversée de répertoire | +3 |
| 6 | CWE-125 | Lecture hors limites | +1 |
| 7 | CWE-78 | Injection de commandes système | -2 |
| 8 | CWE-416 | Use after free (exploitation de zone mémoire libérée) | -4 |
| 9 | CWE-862 | Autorisation manquante | +2 |
| 10 | CWE-434 | Téléversement non restreint d'un type de fichier dangereux | = |
| 11 | CWE-94 | Injection de code | + 12 |
| 12 | CWE-20 | Validation incorrecte d'entrée | -6 |
| 13 | CWE-77 | Injection de commande | +3 |
| 14 | CWE-287 | Authentification incorrecte | +7 |
| 15 | CWE-269 | Gestion de privilèges incorrecte | +7 |
| 16 | CWE-502 | Désérialisation de données non approuvées | -1 |
| 17 | CWE-200 | Exposition de données sensibles à un acteur non autorisé | +13 |
| 18 | CWE-863 | Autorisation incorrecte | +6 |
| 19 | CWE-918 | SSRF (falsification de requête côté serveur) | = |
| 20 | CWE-119 | Restriction incorrecte des opérations dans un tampon mémoire | -3 |
| 21 | CWE-476 | Déréférencement de pointeur NULL | -9 |
| 22 | CWE-798 | Utilisation d'authentifiants codés en dur | -4 |
| 23 | CWE-190 | Dépassement d'entier | -9 |
| 24 | CWE-400 | Consommation incontrôlée de ressources | +13 |
| 25 | CWE-306 | Authentification manquante pour une fonction critique | -5 |
D'une année sur l'autre, CWE-362 (situation de concurrence) sort du Top 25 (34e). Idem pour CWE-276 (permissions par défaut incorrectes ; 36e). À l'inverse, CWE-400 (consommation incontrôlée de ressources ; 37e l'an dernier) et CWE-200 (exposition d'informations sensibles à un acteur non autorisé ; 17e l'an dernier) font leur entrée.
* Classement basé sur l'analyse de 31 770 CVE publiées entre juin 2023 et juin 2024.
Illustration © Quardia Inc. - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité
Par Alain Clapaud
10 min.Par Clément Bohic
Par Clément Bohic
Par Philippe Leroy
Par Clément Bohic
