2023 CWE Top 25 常见软件漏洞榜单

2023年7月13日，MITRE发布了2023年通用漏洞枚举（CWE）中25个最危险软件漏洞的列表，该列表展示了当前最常见和最有影响力的漏洞。这些漏洞极其容易被发现利用，并可能导致攻击者完全接管系统、窃取数据或阻止应用程序运行等。CWE Top 25 能够为软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织（SDO）等专业人士提供实用且方便的资源，深入了解当前最严重的安全漏洞类型。

CWE团队根据美国国家标准与技术研究院（NIST）美国国家漏洞数据库（NVD）中的CVE数据以及与每个CVE记录相关的通用漏洞评分系统（CVSS）分数统计出了2023 CWE Top 25榜单，包括来自网络安全和基础设施安全局（CISA）已知被利用漏洞（KEV）目录的CVE记录。该列表通过2021年和2022年总共43996条CVE记录使用参考感染率和严重程度的公式进行评分，进而统计得出Top25。

以下是2023 CWE Top 25 常见软件漏洞榜单，包含每个漏洞的ID、名称、评分、在KEV目录中涉及的CVE数以及排名变化。

与去年的榜单相比，漏洞类型的排名位置发生了一些显著的变化，包括漏洞跌出前25名或首次进入前25名。

排名上升最大的漏洞为：

CWE-416（UAF）：排名从＃7上升到＃4

CWE-862（缺少授权检查）：排名从＃16上升到＃11

CWE-269（权限管理不当）：排名从＃29上升到＃22

CWE-863（不正确的授权）：排名从＃28上升到＃24

排名下降最大的漏洞为：

CWE-502（不可信数据的反序列化）：排名从＃12下降到＃15

CWE-798（硬编码凭证的使用）：排名从＃15下降到＃18

CWE-276（不正确的默认权限）：排名从＃20下降到＃25

新进入榜单的漏洞为：

CWE-269（权限管理不当）：排名从＃29上升到＃22

CWE-863（不正确的授权）：排名从＃28上升到＃24

跌出榜单的漏洞为：

CWE-400（不受控制的资源消耗）：排名从＃23下降到＃37

CWE-611（XML外部实体引用的不恰当限制）：排名从＃24下降到＃28

2023 CWE Top 25在帮助降低软件安全风险时实用且方便，但CWE团队分析的完整数据集共记录、分析和排名了144个漏洞。除了前25名之外，执行缓解和风险决策的人们应该在他们的工作中考虑这些额外的“处于风口浪尖”的漏洞，因为它们在适当的条件下也可能成为严重的、可利用的漏洞。

以下是2023年CWE排名中第26-40名漏洞的“风口浪尖”名单。

这些CWE仍然很普遍且严重，足以引起人们的关注。以下是值得关注的一些要点。

三个CWE的排名有所上升，进入了今年的“风口浪尖”名单：

CWE-639（通过用户控制的密钥绕过授权）：排名从＃54上升到＃38

CWE-770（分配资源时不受限制）：排名从＃42上升到＃29

CWE-617（可达的断言）：排名从＃44上升到＃26

两个CWE有所下降，从2022 Top 25跌至2023年“风口浪尖”名单：

CWE-611（XML外部实体引用的不恰当限制）：排名从＃24下降到＃28

CWE-400（不受控制的资源消耗）：排名从＃23下降到＃37

三个CWE的排名有所下降，在今年跌出了2022年“风口浪尖”名单：

CWE-312（敏感信息的明文存储）：排名从＃40下降到＃43

CWE-843（类型混淆）：排名从＃31下降到＃46

CWE-319（敏感信息的明文传输）：排名从＃39下降到＃48

https://cwe.mitre.org/top25/archive/2023/2023_top25_list.html