危険な脆弱性タイプのランキング - CSRFやコード挿入が上昇

さらに一部の脆弱性タイプで急上昇が見られた。具体的には、前回9位だった「クロスサイトリクエストフォージェリ（CSRF）」は4位、「コードインジェクション」は12ランクと大幅に上昇し、11位に入った。

「権限管理の不備」は7ランクアップで15位、18位となった「未認可での操作（CWE-863）」も6ランク順位を上げている。

一方「NULLポインタ参照」や「整数オーバーフロー」など一部脆弱性は前回から大きく順位を下げた。トップ25は以下のとおり。

2024年のトップ25（矢印は前回からのランク変動）

1位：↑：クロスサイトスクリプティング（CWE-79）
2位：↓：域外メモリへの書き込み（CWE-787）
3位：→：SQLインジェクション（CWE-89）
4位：↑：クロスサイトリクエストフォージェリ（CWE-352）
5位：↑：パストラバーサル（CWE-22）
6位：↑：域外メモリの読み取り（CWE-125）
7位：↓：OSコマンドインジェクション（CWE-78）
8位：↓：Use After Free（CWE-416）
9位：↑：認可の欠如（CWE-863）
10位：→：危険なタイプのファイルアップロード（CWE-434）
11位：↑：コードインジェクション（CWE-94）
12位：↓：不適切な入力検証（CWE-20）
13位：↑：コマンドインジェクション（CWE-77）
14位：↓：認証の不備（CWE-287）
15位：↑：権限管理の不備（CWE-269）
16位：↓：不適切なデータ逆シリアル化（CWE-502）
17位：↑：センシティブ情報の不適切な露出（CWE-200）
18位：↑：不適切な認可（CWE-863）
19位：→：サーバーサイドリクエストフォージェリ（CWE-918）
20位：↓：メモリバッファ内での操作制限の不備（CWE-119）
21位：↓：NULLポインタ参照（CWE-476）
22位：↓：ハードコードされた資格情報の使用（CWE-798）
23位：↓：整数オーバーフローまたはラップアラウンド（CWE-190）
24位：↑：制御されていないリソース消費（CWE-400）
25位：↓：重要な機能に対する認証の欠如（CWE-306）

（Security NEXT - 2024/11/22 ） ツイート

PR

関連記事

先週注目された記事（2024年11月24日〜2024年11月30日）
危険な脆弱性タイプ、2023年の「トップ25」
2022年における危険な脆弱性タイプのトップ25が明らかに
MITRE、危険な脆弱性タイプのトップ25を発表
「JVN iPedia」に類義語検索機能、脆弱性の解説やコード例も参照可能に
脆弱性データベース「JVN iPedia」をバージョンアップ - IPA