Et de cinq, comme le nombre d’éditions du Top 25 CWE depuis que MITRE en a relancé la publication.
De la validation inappropriée de certificat (CWE-295) au chemin de recherche non fiable (CWE-427), huit des failles logicielles listées en 2019 dans l’édition « de reprise » ne sont plus présentes en 2023.
Sur les dix-sept autres, cinq ont perdu des positions. Deux se sont maintenues au même rang. En l’occurrence, les CWE-79 (cross-site scripting ; 2e du Top 25) et CWE-287 (authentification inadéquate ; 13e).
Les dix failles restantes ont toutes progressé. En voici un récapitulatif :
CWE | Description | Rang | Progression |
787 | Écriture hors limites | 1 | +11 |
89 | Injection SQL | 3 | +3 |
416 | Use after free | 4 | +3 |
78 | Injection shell | 5 | +6 |
22 | Traversement de répertoire(s) | 8 | +2 |
434 | Téléversement de fichier(s) dangereux | 10 | +6 |
476 | Déréférencement de pointeur NULL | 12 | +2 |
502 | Désérialisation de données non fiables | 15 | +8 |
798 | Exploitation d’authentifiants codés en dur | 18 | +1 |
269 | Mauvaise gestion des privilèges | 22 | +2 |
Parmi les failles non présentes au Top 25 CWE de 2019, mais qui ont progressé depuis leur entrée :
> Autorisation manquante (CWE-862), 11e (+14)
> Injection de commandes (CWE-77), 16e (+7)
> SSRF / server-side request forgery (CWE-918), 19e (+5)
> Situation de compétition (CWE-362), 21e (+1)
> Injection de code (CWE-94), 23e (+2)
Deux sont restées à la même position. Nommémnet, CSRF / cross-site request forgery (CWE-352 ; 9e) et corruption de mémoire (CWE-119 ; 17e).
MITRE fonde ses estimations sur l’analyse d’enregistrements CVE des deux années écoulées (2021-2022 pour l’édition actuelle, donc). Sa méthodologie est à consulter par ici.
Photo d’illustration © Quardia Inc. – Adobe Stock
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…