2024 年最危险的软件弱点

关键要点

• MITRE 评估了跨站脚本缺陷为今年最常见和最严重的软件漏洞。
• 排名前五的漏洞还包括越界写入、SQL 注入、跨站请求伪造和路径遍历问题。
• CISA 建议组织根据 MITRE 的列表来管理软件安全，以防止软件生命周期中产生的漏洞。

最近， 报导称，MITRE将跨站脚本缺陷列为今年最常见和最具威胁的软件漏洞，其次是越界写入、SQL注入、跨站请求伪造和路径遍历问题。这些漏洞表现出的风险，提示了企业在软件开发和采购中的重要性。

以下是MITRE 的前十大最严重软件缺陷：

排名 | 漏洞类型
—|—
1 | 跨站脚本
2 | 越界写入
3 | SQL 注入
4 | 跨站请求伪造
5 | 路径遍历
6 | 越界读取
7 | 操作系统命令注入
8 | 使用后释放
9 | 缺失授权
10 | 不受限制的危险类型文件上传

根据 CISA 的说法，这十种缺陷的确定是基于对2023年6月份以来报告的31,770个漏洞的审核。CISA还表示：“在开发和采购过程中优先考虑这些弱点，能够有效防止软件生命周期中的核心漏洞。”在最近的“安全设计警告”中，CISA 还特别提到了防范 SQL注入和路径遍历漏洞的必要性。

这一消息发布恰好是在上周，CISA、FBI、国家安全局及“五眼”网络安全机构报告显示，去年大多数被频繁利用的漏洞均为零日漏洞的背景下。对于企业来说，了解和优先解决这些漏洞是保障网络安全的重要措施。