Top 25 CWE : entre 2019 et 2023, ces failles devenues plus dangereuses

Et de cinq, comme le nombre d’éditions du Top 25 CWE depuis que MITRE en a relancé la publication.

De la validation inappropriée de certificat (CWE-295) au chemin de recherche non fiable (CWE-427), huit des failles logicielles listées en 2019 dans l’édition « de reprise » ne sont plus présentes en 2023.

Sur les dix-sept autres, cinq ont perdu des positions. Deux se sont maintenues au même rang. En l’occurrence, les CWE-79 (cross-site scripting ; 2^e du Top 25) et CWE-287 (authentification inadéquate ; 13^e).

Les dix failles restantes ont toutes progressé. En voici un récapitulatif :

Parmi les failles non présentes au Top 25 CWE de 2019, mais qui ont progressé depuis leur entrée :

> Autorisation manquante (CWE-862), 11^e (+14)
> Injection de commandes (CWE-77), 16^e (+7)
> SSRF / server-side request forgery (CWE-918), 19^e (+5)
> Situation de compétition (CWE-362), 21^e (+1)
> Injection de code (CWE-94), 23^e (+2)

Deux sont restées à la même position. Nommémnet, CSRF / cross-site request forgery (CWE-352 ; 9^e) et corruption de mémoire (CWE-119 ; 17^e).

MITRE fonde ses estimations sur l’analyse d’enregistrements CVE des deux années écoulées (2021-2022 pour l’édition actuelle, donc). Sa méthodologie est à consulter par ici.

Photo d’illustration © Quardia Inc. – Adobe Stock