El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos ha publicado “2022 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses”.
Se trata de las 25 debilidades de software más peligrosas que pueden conducir a vulnerabilidades que los ciberdelincuentes pueden intentar explotar para tomar el control total de un sistema, robar datos, o evitar que las aplicaciones funcionen. Por lo mismo, su conocimiento ayudará a mitigar el riesgo asociado.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), en colaboración con el Instituto de Desarrollo e Ingeniería de Sistemas de Seguridad Nacional (HSSEDI), operado por MITRE, de los Estados Unidos, ha publicado “2024 CWE Top 25 Most Dangerous Software Weaknesses”.
La lista de las 25 debilidades de software más peligrosas de CWE de 2024 identifica las debilidades de software más críticas que los adversarios aprovechan con frecuencia para comprometer sistemas, robar datos confidenciales o interrumpir servicios esenciales.
Es recomendable que las organizaciones revisen la lista y se apoyen con ella en sus estrategias de seguridad de software. Dar prioridad a estas debilidades en los procesos de desarrollo y adquisición ayuda a prevenir vulnerabilidades en el núcleo del ciclo de vida del software.
La siguiente es la lista de las debilidades más peligrosas de software de 2022:
| Rank | ID | Name |
|---|---|---|
| 1 | CWE-79 | Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’) |
| 2 | CWE-787 | Out-of-bounds Write |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) |
| 4 | CWE-352 | Cross-Site Request Forgery (CSRF) |
| 5 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) |
| 6 | CWE-125 | Out-of-bounds Read |
| 7 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’) |
| 8 | CWE-416 | Use After Free |
| 9 | CWE-862 | Missing Authorization |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type |
| 11 | CWE-94 | Improper Control of Generation of Code (‘Code Injection’) |
| 12 | CWE-20 | Improper Input Validation |
| 13 | CWE-77 | Improper Neutralization of Special Elements used in a Command (‘Command Injection’) |
| 14 | CWE-287 | Improper Authentication |
| 15 | CWE-269 | Improper Privilege Management |
| 16 | CWE-502 | Deserialization of Untrusted Data |
| 17 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor |
| 18 | CWE-863 | Incorrect Authorization |
| 19 | CWE-918 | Server-Side Request Forgery (SSRF) |
| 20 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer |
| 21 | CWE-476 | NULL Pointer Dereference |
| 22 | CWE-798 | Use of Hard-coded Credentials |
| 23 | CWE-190 | Integer Overflow or Wraparound |
| 24 | CWE-400 | Uncontrolled Resource Consumption |
| 25 | CWE-306 | Missing Authentication for Critical Function |
Para más información, consulte “2024 CWE Top 25 Most Dangerous Software Weaknesses”.