MITRE vient de communiquer les 25 faiblesses les plus courantes et les plus dangereuses qui ont affecté les logiciels au cours des deux dernières années.

MITRE est une organisation à but non lucratif américaine dont l'objectif est de travailler pour l'intérêt public. Ses domaines d'intervention sont l'ingénierie des systèmes, la technologie de l'information, les concepts opérationnels, et la modernisation des entreprises.

Source : Wikipedia

Les vulnérabilités logicielles peuvent des défauts, des bug ou diverses autres erreurs trouvées dans le code, mais aussi  l'architecture, la mise en œuvre ou la conception des solutions logicielles.

Elles peuvent potentiellement exposer les systèmes sur lesquels elles sont exécutées à des attaques qui pourraient permettre aux acteurs malveillants  de prendre le contrôle des hôtes concernés, d'accéder à des informations sensibles ou de déclencher un déni de service.

Pour créer cette liste, Le MITRE a noté chaque faiblesse en fonction de sa prévalence et de sa gravité après avoir analysé les données de 37 899 CVE provenant de la National Vulnerability Database (NVD) du NIST et du Known Exploited Vulnerabilities (KEV) Catalog du CISA.

Rank ID Name Score KEV Count (CVEs) Rank Change vs. 2021
1 CWE-787 Out-of-bounds Write 64.20 62 0
2 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') 45.97 2 0
3 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') 22.11 7 +3 🔺
4 CWE-20 Improper Input Validation 20.63 20 0
5 CWE-125 Out-of-bounds Read 17.67 1 -2 🔻
6 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') 17.53 32 -1 🔻
7 CWE-416 Use After Free 15.50 28 0
8 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') 14.08 19 0
9 CWE-352 Cross-Site Request Forgery (CSRF) 11.53 1 0
10 CWE-434 Unrestricted Upload of File with Dangerous Type 9.56 6 0
11 CWE-476 NULL Pointer Dereference 7.15 0 +4 🔺
12 CWE-502 Deserialization of Untrusted Data 6.68 7 +1 🔺
13 CWE-190 Integer Overflow or Wraparound 6.53 2 -1 🔻
14 CWE-287 Improper Authentication 6.35 4 0
15 CWE-798 Use of Hard-coded Credentials 5.66 0 +1 🔺
16 CWE-862 Missing Authorization 5.53 1 +2 🔺
17 CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection') 5.42 5 +8 🔺
18 CWE-306 Missing Authentication for Critical Function 5.15 6 -7 🔻
19 CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer 4.85 6 -2 🔻
20 CWE-276 Incorrect Default Permissions 4.84 0 -1 🔻
21 CWE-918 Server-Side Request Forgery (SSRF) 4.27 8 +3 🔺
22 CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') 3.57 6 +11 🔺
23 CWE-400 Uncontrolled Resource Consumption 3.56 2 +4 🔺
24 CWE-611 Improper Restriction of XML External Entity Reference 3.38 0 -1 🔻
25 CWE-94 Improper Control of Generation of Code ('Code Injection') 3.32 4 +3 🔺

Ci-dessous une représentation visuelle des changement entre 2021 et 2022 :

Source : MITRE