危険な脆弱性タイプのランキング - CSRFやコード挿入が上昇
MITERが運営する国土安全保証システム技術開発研究所(HSSEDI)は、2024年版の「危険なソフトウェア脆弱性タイプトップ25(CWE Top 25)」を発表した。「コードインジェクション」や「権限管理の不備」など一部タイプが急上昇した。
2023年6月1日から2024年6月1日までの1年間に公開された脆弱性情報3万1770件のCVEデータベースをもとに、マッピングされた脆弱性の「共通弱点タイプ(CWE)」について分析し、ランキングとしてまとめている。
同ランキングを参考にソフトウェア開発における脆弱性や修正にともなうコストの削減、組織におけるセキュリティ対策やリスクの優先順位付けなどに活用できるとしている。
マッピングの精度向上や分析手法の変更なども行っており、ランキングに影響を与えた可能性があることに留意する必要がある。
具体的なランキングを見ると、上位には前回に引き続き「クロスサイトスクリプティング」や「域外メモリへの書き込み」がランクインした。
(Security NEXT - 2024/11/22 )
ツイート
PR
関連記事
先週注目された記事(2024年11月24日〜2024年11月30日)
危険な脆弱性タイプ、2023年の「トップ25」
2022年における危険な脆弱性タイプのトップ25が明らかに
MITRE、危険な脆弱性タイプのトップ25を発表
「JVN iPedia」に類義語検索機能、脆弱性の解説やコード例も参照可能に
脆弱性データベース「JVN iPedia」をバージョンアップ - IPA