鑽石舞台

由CISA贊助並由 MITRE 運營的國土安全系統工程與開發研究所發布了2022 年常見弱點枚舉 (CWE) 前 25 個最危險的軟件弱點列表。該列表使用來自國家漏洞數據庫的數據 來編譯可能導致軟件嚴重漏洞的最常見和最嚴重的錯誤。攻擊者通常可以利用這些漏洞來控制受影響的系統、獲取敏感信息或導致拒絕服務狀況。今年的列表還包含數據集中最近常見漏洞和暴露記錄的更新弱點數據，這些數據是 CISA 的已知利用漏洞目錄的一部分。

CISA 鼓勵用戶和管理員查看 2022 年 CWE 前 25 個最危險的軟件弱點，並評估推薦的緩解措施以確定最適合採用的緩解措施。

許多與軟件打交道的專業人士會發現 CWE Top 25 是一種實用且方便的資源，有助於降低風險。這可能包括軟件架構師、設計師、開發人員、測試人員、用戶、項目經理、安全研究人員、教育工作者和標準開發組織 (SDO) 的貢獻者。

CWE團隊利用了美國國家標準與技術研究院 (NIST)國家漏洞數據庫 (NVD)中的常見漏洞和暴露 (CVE®)數據以及與每個 CVE 相關的常見漏洞評分系統 (CVSS)分數記錄，包括關注網絡安全和基礎設施安全局 (CISA)已知利用漏洞 (KEV) 目錄中的 CVE 記錄。對數據應用了一個公式，以根據患病率和嚴重程度對每個弱點進行評分。

為計算 2022 年前 25 名而分析的數據集包含前兩個日曆年的總共 37,899 條 CVE 記錄。

以下是 2022 CWE Top 25 中的弱點列表，包括每個弱點的總分。KEV 計數 (CVE) 顯示 CISA KEV 列表中映射到給定漏洞的 CVE-2020/CVE-2021 記錄的數量。

與去年的榜單相比，弱點類型的排名位置有幾個顯著變化，包括一些弱點下降或首次出現在前 25 名中。

CWE-362（使用不正確同步的共享資源並發執行（'競爭條件'））：從 #33 到 #22

CWE-94（代碼生成控制不當（'代碼注入'））：從 #28 到 #25

CWE-400（不受控制的資源消耗）：從 #27 到 #23

CWE-77（命令中使用的特殊元素的不正確中和（「命令注入」））：從 #25 到 #17

CWE-476（空指針取消引用）：從 #15 到 #11

最大的下行趨勢是：

CWE-306（缺少關鍵功能的身份驗證）：從 #11 到 #18

CWE-200（敏感信息暴露給未經授權）：從 #20 到 #33

CWE-522（憑據保護不足）：從 #21 到 #38

CWE-732（關鍵資源的權限分配不正確）：從 #22 到 #30

前 25 名中的新條目是：

CWE-362（使用不正確同步的共享資源並發執行（'競爭條件'））：從 #33 到 #22

CWE-94（代碼生成控制不當（'代碼注入'））：從 #28 到 #25

CWE-400（不受控制的資源消耗）：從 #27 到 #23

跌出前 25 名的參賽作品是：

CWE-200（將敏感信息暴露給未經授權的演員）：從 #20 到 #33

CWE-522（憑據保護不足）：從 #21 到 #38

CWE-732（關鍵資源的權限分配不正確）：從 #22 到 #30

以下是 2021 年和 2022 年前 25 名榜單差異的直觀表示。

與過去幾年一樣，前 25 名繼續向更具體的基礎級別弱點過渡。雖然獨特的類級弱點數量緩慢下降（從 2020 年的 9 個下降到 2022 年的 7 個），但用於生成列表的所有映射的百分比已從 2020 年的 30% 下降到今年的 16% . 複合和變體弱點的其他級。

雖然列表中仍然存在 7 個類級別的弱點，但它們在排名中明顯下降，受重新映射任務中優先級的影響（請參閱重新映射任務）。隨着社區改進其映射到更精確的弱點，預計這一運動將在未來幾年繼續。

今年的分析創造了職業和基礎水平的混合弱點，在前 25 名中上下移動。這是意料之中的，因為其中一些職業通常以易於識別的關鍵字而聞名，例如「競爭條件」、「命令」 CWE 計劃的目標仍然是通過前 25 名中的基礎級弱點類型迭代地提供更多特異性。可以觀察到，每年都更接近該目標。該計劃的目標是，這一趨勢將使試圖更好地理解和解決威脅當今系統的問題的用戶受益，因為與更高級別的弱點相比，基本級別的弱點更具信息性並且有利於實際緩解。

2022 CWE Top 25 是通過從 NVD 獲取和分析公共漏洞數據而開發的。對於 2022 年清單，數據使用了已知被利用漏洞 (KEV) 目錄，該目錄根據 CISA 於 2021 年 11 月頒布的「具有約束力的操作指令 22-01-降低已知被利用漏洞的重大風險」建立。KEV是權威的已知已在野外被利用的漏洞的來源。

在數據收集和重新映射過程之後，使用評分公式來計算弱點的排名順序，該順序將 CWE 是漏洞的根本原因的頻率與通過 CVSS 衡量的每個漏洞利用的平均嚴重性相結合。在這兩種情況下，頻率和嚴重性都相對於看到的最小值和最大值進行了標準化。在下一節中，這些指標分別表示為「NVD 計數」和「平均 CVSS」。

有關 2022 年 Top 25 榜單計算的更具體和詳細信息，請參閱詳細方法。

具有評分指標的 CWE 前 25 名

因為所有弱點在適當的條件下都可能成為可利用的漏洞：

2022年重映射任務的重大變化

Top 25 團隊對 2022 年的重映射任務進行了幾項重大更改：

將來自 NVD 的 CVMAP 數據集成到映射分析中。NVD 的 CVMAP 計劃允許 CVE 編號機構 (CNA) 在其權限範圍內為 CVE 記錄提交他們自己的 CWE 映射。排名前 25 位的分析師將這些映射集成為重新映射的附加數據點。如果沒有足夠的細節來進行更深入的分析，則選擇 CNA 映射。這可能會減少映射到 NVD-CWE-noinfo 的 CVE 數量，並讓我們深入了解 CNA 本身可能的映射錯誤。它還揭示了對某些弱點的過度使用，例如 CWE-20 和 CWE-200。

分析師可以在單個漏洞中表示 CWE 之間的鏈接關係。使用了一個簡單的語法：X->Y 暗示弱點 X 觸發了弱點 Y。支持更長的鏈，例如 X->Y->Z。在某些情況下，同一 CVE 記錄中存在多個鏈。雖然鏈接表示並沒有影響今年的評分，但它提供了有價值的見解和真實世界的示例，說明未來如何表示鏈以應對漏洞。前 25 名團隊打算與包括 NIST 在內的相關方分享經驗。

由於要分析的潛在 CVE 的數量很大，因此定義了一個流程來取消對過於複雜和耗時而無法分析的 CVE 的優先級。例如，CVE 可能與開源產品中的訪問控制問題相關，錯誤報告包含數十條產品特定的評論，試圖確定正確的策略，或者包含大量更改的大量差異報告，除了針對弱點的修復. 這些複雜的 CVE 被標記為「TODO」，後來由經驗豐富的分析師解決，或者推遲到明年進行潛在的重新分析。

219 個 CVE 被標記為 TODO 但未解決，即它們極其複雜且耗時。在重新映射期接近尾聲時，還對似乎不太可能以任何顯著方式影響最終前 25 名結果的 CVE 應用了去優先級；例如，如果映射到 CWE-20，許多 CVE 將被取消優先級，因為 CWE-20 的等級在數學上不太可能改變；同樣，CWE-787 在#1 上遙遙領先，許多相關的 CVE 也被取消了優先級。共有 1,013 個 CVE 根本沒有重新映射或分析。這種去優先級使分析師能夠專注於完成 CVE，從而為 NVD / CNA 分析師帶來更大的好處（以提供有關可能的映射錯誤的反饋），以及分析接近前 25 名底部或接近尖端頂部的 CWE ，因為甚至可能發生排名的微小變化。例如，CWE 團隊有更多時間來分析密碼學相關問題以及 CISA KEV 列表。許多相關的 CVE 也被取消了優先級。

共有 1,013 個 CVE 根本沒有重新映射或分析。這種去優先級使分析師能夠專注於完成 CVE，從而為 NVD / CNA 分析師帶來更大的好處（以提供有關可能的映射錯誤的反饋），以及分析接近前 25 名底部或接近尖端頂部的 CWE ，因為甚至可能發生排名的微小變化。例如，CWE 團隊有更多時間來分析密碼學相關問題以及 CISA KEV 列表。許多相關的 CVE 也被取消了優先級。共有 1,013 個 CVE 根本沒有重新映射或分析。這種去優先級使分析師能夠專注於完成 CVE，從而為 NVD / CNA 分析師帶來更大的好處（以提供有關可能的映射錯誤的反饋），以及分析接近前 25 名底部或接近尖端頂部的 CWE ，因為甚至可能發生排名的微小變化。例如，CWE 團隊有更多時間來分析密碼學相關問題以及 CISA KEV 列表。因為即使是小的等級變動也可能發生。例如，CWE 團隊有更多時間來分析密碼學相關問題以及 CISA KEV 列表。因為即使是小的等級變動也可能發生。例如，CWE 團隊有更多時間來分析密碼學相關問題以及 CISA KEV 列表。