A CISA, em parceria com a MITRE, lançou a lista com as 25 vulnerabilidades de software mais perigosas de 2025 ("Top 25 Most Dangerous Software Weaknesses"), segundo a CWE. Esta lista identifica as vulnerabilidades mais críticas de software, que os adversários exploram para comprometer sistemas, roubar dados ou interromper serviços.
Essa lista é atualizada anualmente e é baseada na Common Weakness Enumeration (CWE), um padrão de nomenclatura para vulnerabilidades de software, bem extensa e completa. Ela também indica quantas vulnerabilidades conhecidas (CVEs) foram exploradas por atacantes, e estão listadas no catálogo "Known Exploited Vulnerabilities" (KEV) - um indicador importante, que mostra que essa vulnerabilidade foi explorada por atacantes.
Segue a lista:
- CWE-79 - Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
CVEs no KEV: 7 - Posição no ano passado: 1 - CWE-89 - Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
CVEs in KEV: 4 - Posição no ano passado: 3
- CWE-352 - Cross-Site Request Forgery (CSRF)
CVEs in KEV: 0 - Posição no ano passado: 4 - CWE-862 - Missing Authorization
CVEs in KEV: 0 - Posição no ano passado: 9 - CWE-787 - Out-of-bounds Write
CVEs in KEV: 12 - Posição no ano passado: 2
- CWE-22 - Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
CVEs in KEV: 10 - Posição no ano passado: 5 - CWE-416 - Use After Free
CVEs in KEV: 14 - Posição no ano passado: 8 - CWE-125 - Out-of-bounds Read
CVEs in KEV: 3 - Posição no ano passado: 6 - CWE-78 - Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
CVEs in KEV: 20 - Posição no ano passado: 7 - CWE-94 - Improper Control of Generation of Code ('Code Injection')
CVEs in KEV: 7 - Posição no ano passado: 11 - CWE-120 - Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')
CVEs in KEV: 0 - Posição no ano passado: N/A - CWE-434 - Unrestricted Upload of File with Dangerous Type
CVEs in KEV: 4 - Posição no ano passado: 10 - CWE-476 - NULL Pointer Dereference
CVEs in KEV: 0 - Posição no ano passado: 21 - CWE-121 - Stack-based Buffer Overflow
CVEs in KEV: 4 - Posição no ano passado: N/A - CWE-502 - Deserialization of Untrusted Data
CVEs in KEV: 11 - Posição no ano passado: 16 - CWE-122 - Heap-based Buffer Overflow
CVEs in KEV: 6 - Posição no ano passado: N/A - CWE-863 - Incorrect Authorization
CVEs in KEV: 4 - Posição no ano passado: 18 - CWE-20 - Improper Input Validation
CVEs in KEV: 2 - Posição no ano passado: 12 - CWE-284 - Improper Access Control
CVEs in KEV: 1 - Posição no ano passado: N/A - CWE-200 - Exposure of Sensitive Information to an Unauthorized Actor
CVEs in KEV: 1 - Posição no ano passado: 17 - CWE-306 - Missing Authentication for Critical Function
CVEs in KEV: 11 - Posição no ano passado: 25 - CWE-918 - Server-Side Request Forgery (SSRF)
CVEs in KEV: 0 - Posição no ano passado: 19 - CWE-77 - Improper Neutralization of Special Elements used in a Command ('Command Injection')
CVEs in KEV: 2 - Posição no ano passado: 13 - CWE-639 - Authorization Bypass Through User-Controlled Key
CVEs in KEV: 0 - Posição no ano passado: 30 - CWE-770 - Allocation of Resources Without Limits or Throttling
CVEs in KEV: 0 - Posição no ano passado: 26
Esta lista é muito útil para educar os times de desenvolvimento sobre os principais erros a serem evitados.
Para saber mais:
Nenhum comentário:
Postar um comentário