Pour gérer vos consentements :

Top 25 CWE : entre 2019 et 2023, ces failles devenues plus dangereuses

Publié par Clément Bohic le | Mis à jour le

Dix des failles logicielles présentes au Top 25 de MITRE il y a quatre ans le sont encore aujourd'hui... et à un rang plus élevé.

Et de cinq, comme le nombre d'éditions du Top 25 CWE depuis que MITRE en a relancé la publication.

De la validation inappropriée de certificat (CWE-295) au chemin de recherche non fiable (CWE-427), huit des failles logicielles listées en 2019 dans l'édition « de reprise » ne sont plus présentes en 2023.

Sur les dix-sept autres, cinq ont perdu des positions. Deux se sont maintenues au même rang. En l'occurrence, les CWE-79 (cross-site scripting ; 2e du Top 25) et CWE-287 (authentification inadéquate ; 13e).

Les dix failles restantes ont toutes progressé. En voici un récapitulatif :

CWE Description Rang Progression
787 Écriture hors limites 1 +11
89 Injection SQL 3 +3
416 Use after free 4 +3
78 Injection shell 5 +6
22 Traversement de répertoire(s) 8 +2
434 Téléversement de fichier(s) dangereux 10 +6
476 Déréférencement de pointeur NULL 12 +2
502 Désérialisation de données non fiables 15 +8
798 Exploitation d'authentifiants codés en dur 18 +1
269 Mauvaise gestion des privilèges 22 +2

Parmi les failles non présentes au Top 25 CWE de 2019, mais qui ont progressé depuis leur entrée :

> Autorisation manquante (CWE-862), 11e (+14)
> Injection de commandes (CWE-77), 16e (+7)
> SSRF / server-side request forgery (CWE-918), 19e (+5)
> Situation de compétition (CWE-362), 21e (+1)
> Injection de code (CWE-94), 23e (+2)

Deux sont restées à la même position. Nommémnet, CSRF / cross-site request forgery (CWE-352 ; 9e) et corruption de mémoire (CWE-119 ; 17e).

MITRE fonde ses estimations sur l'analyse d'enregistrements CVE des deux années écoulées (2021-2022 pour l'édition actuelle, donc). Sa méthodologie est à consulter par ici.

Photo d'illustration © Quardia Inc. - Adobe Stock

La rédaction vous recommande