Las 25 vulnerabilidades más peligrosas se actualizan después de 8 años

Por primera vez en ocho años, la lista con las 25 vulnerabilidades de software más peligrosas recibió una actualización que promete ser relevante para los tiempos actuales.

Las entradas se seleccionaron en función de criterios objetivos en comparación con la lista anterior, teniendo en cuenta los informes de los investigadores de seguridad junto con la prevalencia, la gravedad y la explotación en el mundo real.

Nuevo defecto en el primer puesto

Una nueva vulnerabilidad ahora está en la parte superior de la lista, una posición que anteriormente ocupaba la inyección SQL, que ha caído al sexto lugar.

"Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria" es el nombre de la amenaza con la puntuación calculada más alta, aunque esto no refleja su gravedad.

"Las debilidades que rara vez se explotan no recibirán una puntuación alta, independientemente de la gravedad típica asociada con cualquier explotación. Esto tiene sentido, ya que si los desarrolladores no están cometiendo un error en particular, entonces la debilidad no debería destacarse en el CWE Top 25". - INGLETE

La vulnerabilidad con el puntaje de severidad promedio más alto, 9.129 de 10, es la inyección SQL, ya que tiene una alta probabilidad de ser explotada e impactada porque puede comprometer las bases de datos con datos confidenciales.

La secuencia de comandos entre sitios (XSS) ocupa el segundo lugar en la lista, a pesar de tener un puntaje promedio de baja gravedad de 5.778. Esta posición se explica por la alta probabilidad de explotación que podría permitir a un atacante ejecutar código o comandos no autorizados y su prevalencia en los informes.

'Validación de entrada incorrecta' ocupa el tercer lugar en la lista, con un puntaje de severidad de 7.242. También tiene altas posibilidades de ser explotado y el potencial de daño varía desde la denegación de servicio, salir o reiniciar la aplicación vulnerable hasta leer o modificar la memoria y ejecutar códigos o comandos no autorizados.

Rank	ID	Name	Score
[1]	CWE-119	Improper Restriction of Operations within the Bounds of a Memory Buffer	75.56
[2]	CWE-79	Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')	45.69
[3]	CWE-20	Improper Input Validation	43.61
[4]	CWE-200	Information Exposure	32.12
[5]	CWE-125	Out-of-bounds Read	26.53
[6]	CWE-89	Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')	24.54
[7]	CWE-416	Use After Free	17.94
[8]	CWE-190	Integer Overflow or Wraparound	17.35
[9]	CWE-352	Cross-Site Request Forgery (CSRF)	15.54
[10]	CWE-22	Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')	14.10
[11]	CWE-78	Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')	11.47
[12]	CWE-787	Out-of-bounds Write	11.08
[13]	CWE-287	Improper Authentication	10.78
[14]	CWE-476	NULL Pointer Dereference	9.74
[15]	CWE-732	Incorrect Permission Assignment for Critical Resource	6.33
[16]	CWE-434	Unrestricted Upload of File with Dangerous Type	5.50
[17]	CWE-611	Improper Restriction of XML External Entity Reference	5.48
[18]	CWE-94	Improper Control of Generation of Code ('Code Injection')	5.36
[19]	CWE-798	Use of Hard-coded Credentials	5.12
[20]	CWE-400	Uncontrolled Resource Consumption	5.04
[21]	CWE-772	Missing Release of Resource after Effective Lifetime	5.04
[22]	CWE-426	Untrusted Search Path	4.40
[23]	CWE-502	Deserialization of Untrusted Data	4.30
[24]	CWE-269	Improper Privilege Management	4.23
[25]	CWE-295	Improper Certificate Validation	4.06

La compilación de esta lista fue un proceso basado en datos que dependía de vulnerabilidades reportadas públicamente en la Base de Datos Nacional de Vulnerabilidades (NVD).

El responsable de actualizar las 25 principales fallas de seguridad es la Ingeniería y Desarrollo de Sistemas de Seguridad Nacional (HSSED) bajo la Dirección de Ciencia y Tecnología de los Estados Unidos dentro del Departamento de Seguridad Nacional de los Estados Unidos (DHS).

El propósito de la actualización es ayudar a mejorar la resistencia de la ciberseguridad. La lista pretende ser un documento de orientación diseñado para ayudar a los desarrolladores a crear software más seguro antes de lanzarlo al mercado. ChrisLevendis, dice en una publicación de blog hoy que el enfoque basado en datos refleja los problemas vistos en el mundo real.

Fuente: https://www.bleepingcomputer.com/

No olvides Compartir...

Siguenos en twitter: @disoftin - @fredyavila