検索
ニュース

ソフトウェア開発で気を付けたい脆弱性トップ25 3位は「SQLインジェクション」 2位は「XSS」 1位は?「CWE Top 25」2023年版、MITREが発表

MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。

Share
Tweet
LINE
Hatena

 MITREは2023年6月29日(米国時間)、ソフトウェアにおいて危険な脆弱(ぜいじゃく)性タイプの1位〜25位をまとめた「CWE(Common Weakness Enumeration:共通脆弱性タイプ) Top 25」を発表した。

 CWE Top 25は、米国国立標準技術研究所(NIST)の「NVD」(National Vulnerability Database:脆弱性情報データベース)や米国サイバーセキュリティ・社会基盤安全保障庁(CISA)の「KEVC」(Known Exploited Vulnerabilities Catalog:既知の悪用された脆弱性リスト)に記録された2021年から2022年の「CVE」(Common Vulnerabilities and Exposures:共通脆弱性識別子)レコード4万3996件をデータセットとし、脆弱性の深刻度を示す「CVSS」(Common Vulnerability Scoring System:共通脆弱性評価システム)をもとに重大度や危険度をスコアリングしている。

 CWE Top 25の結果は以下の通り。

順位 ID 名前 スコア
1位 CWE-787 境界外書き込み 63.72
2位 CWE-79 クロスサイトスクリプティング 45.54
3位 CWE-89 SQLインジェクション 34.27
4位 CWE-416 解放済みメモリの使用 16.71
5位 CWE-78 OSコマンドインジェクション 15.65
6位 CWE-20 不適切な入力確認 15.50
7位 CWE-125 境界外読み取り 14.60
8位 CWE-22 パストラバーサル 14.11
9位 CWE-352 クロスサイトリクエストフォージェリ(CSRF) 11.73
10位 CWE-434 危険なタイプのファイルの無制限アップロード 10.41
11位 CWE-862 認証の欠如 6.90
12位 CWE-476 NULL ポインタデリファレンス 6.59
13位 CWE-287 不適切な認証 6.39
14位 CWE-190 整数オーバーフローまたはラップアラウンド 5.89
15位 CWE-502 信頼できないデータのデシリアライゼーション 5.56
16位 CWE-77 コマンドインジェクション 4.95
17位 CWE-119 バッファーエラー 4.75
18位 CWE-798 ハードコードされた認証情報の使用 4.57
19位 CWE-918 サーバサイドリクエストフォージェリ(SSRF) 4.56
20位 CWE-306 重要な機能に対する認証の欠如 3.78
21位 CWE-362 競合状態 3.53
22位 CWE-269 不適切な権限管理 3.31
23位 CWE-94 コードインジェクション 3.30
24位 CWE-863 不正な認証 3.16
25位 CWE-276 不適切なデフォルトパーミッション 3.16

 2023年版のCWE Top 25は、2022年版と比較して1位〜3位に変動はなかったものの、4位のCWE-416(解放済みメモリの使用)、11位のCWE-862(認証の欠如)、22位のCWE-269(不適切な権限管理)、24位のCWE-863(不正な認証)が上昇した。一方、15位のCWE-502(信頼できないデータのデシリアライゼーション)、18位のCWE-798(ハードコードされた認証情報の使用)、25位のCWE-276(不適切なデフォルトパーミッション)は下降した。

 MITREは今後数週間以内に、2019年〜2023年に公開したCWE Top25のデータを傾向分析した結果を公開予定としている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る