Top 25 CWE : entre 2019 et 2023, ces failles devenues plus dangereuses
Publié par Clément Bohic le | Mis à jour le
Dix des failles logicielles présentes au Top 25 de MITRE il y a quatre ans le sont encore aujourd'hui... et à un rang plus élevé.
Et de cinq, comme le nombre d'éditions du Top 25 CWE depuis que MITRE en a relancé la publication.
De la validation inappropriée de certificat (CWE-295) au chemin de recherche non fiable (CWE-427), huit des failles logicielles listées en 2019 dans l'édition « de reprise » ne sont plus présentes en 2023.
Sur les dix-sept autres, cinq ont perdu des positions. Deux se sont maintenues au même rang. En l'occurrence, les CWE-79 (cross-site scripting ; 2e du Top 25) et CWE-287 (authentification inadéquate ; 13e).
Les dix failles restantes ont toutes progressé. En voici un récapitulatif :
CWE | Description | Rang | Progression |
787 | Écriture hors limites | 1 | +11 |
89 | Injection SQL | 3 | +3 |
416 | Use after free | 4 | +3 |
78 | Injection shell | 5 | +6 |
22 | Traversement de répertoire(s) | 8 | +2 |
434 | Téléversement de fichier(s) dangereux | 10 | +6 |
476 | Déréférencement de pointeur NULL | 12 | +2 |
502 | Désérialisation de données non fiables | 15 | +8 |
798 | Exploitation d'authentifiants codés en dur | 18 | +1 |
269 | Mauvaise gestion des privilèges | 22 | +2 |
Parmi les failles non présentes au Top 25 CWE de 2019, mais qui ont progressé depuis leur entrée :
> Autorisation manquante (CWE-862), 11e (+14)
> Injection de commandes (CWE-77), 16e (+7)
> SSRF / server-side request forgery (CWE-918), 19e (+5)
> Situation de compétition (CWE-362), 21e (+1)
> Injection de code (CWE-94), 23e (+2)
Deux sont restées à la même position. Nommémnet, CSRF / cross-site request forgery (CWE-352 ; 9e) et corruption de mémoire (CWE-119 ; 17e).
MITRE fonde ses estimations sur l'analyse d'enregistrements CVE des deux années écoulées (2021-2022 pour l'édition actuelle, donc). Sa méthodologie est à consulter par ici.
Photo d'illustration © Quardia Inc. - Adobe Stock