2023 CWE En Tehlikeli İlk 25 Yazılıma 15 Güvenlik Açığı Daha Eklendi


CVE MITRE vakfı “listesini yayınladı”Zirvede2022 ve 2023 yılları arasında pek çok CWE’nin (Common Weakness Enumerations) sıralamasında artış ve düşüş olduğu.

CVE, kuruluşların yazılım güvenliği risklerini azaltmasına yardımcı olan en tehlikeli 25 yazılım zayıflığını yayınlar.

Ancak, bu ilk 25’in ötesindeki kötüye kullanılabilir güvenlik açıkları da bir kuruluş için büyük bir tehdit oluşturduklarından dikkate alınmalıdır.

2023 “Zirvede”

MITRE kuruluşunun analizine göre, güvenlik açıklarının ilk 26-40 listesi arasında, 2022’de 56. sıradan 38. sıraya yükselen Kullanıcı Kontrollü Anahtar Aracılığıyla Yetkilendirme Atlamayı içeren üç güvenlik açığı, 2022’deki sıralamalarına kıyasla sıralamalarında artış gösterdi.

Sınırsız veya Kısıtlamasız Kaynak Tahsisi, 2022’de 42. sıradan 2023’te 29. sıraya yükseldi. Reachable Assertion da 2022’de 44. sıradan 2023’te 26. sıraya yükseldi.

Ulaşılabilir iddia, 2023 yılı itibariyle en yüksek artış olan 18 sıra artan tek güvenlik açığıydı. Bunu, ardından 16 sıra artan Kullanıcı Kontrollü Anahtarla Yetki Atlama, ardından 13 sıra artan Kaynakların Sınırsız veya Kısıtlamasız Tahsisi izledi.

  1. Ulaşılabilir Onay CWE-617
  2. Kontrolsüz Arama Yolu Elemanı CWE-427
  3. XML Harici Varlık Referansının Uygun Olmayan Kısıtlaması CWE-611
  4. Kaynakların Kısıtlama ve Kısıtlama Olmadan Tahsis Edilmesi CWE-770
  5. Hassas Bilgilerin Yetkisiz Bir Kişiye Açıklanması CWE-200
  6. Kritik Kaynak için Yanlış İzin Ataması CWE-732
  7. Güvenilmeyen Siteye URL Yönlendirmesi (‘Yönlendirmeyi Aç’) CWE-601
  8. Nesne Prototip Niteliklerinin Yanlış Kontrol Edilen Değişikliği (“Prototip Kirliliği”) CWE-1321
  9. Hatalı Sertifika Doğrulaması CWE-295
  10. Yetersiz Korunan Kimlik Bilgileri CWE-522
  11. Etkili Ömürden Sonra Belleğin Serbest Bırakılmaması CWE-401
  12. Kontrolsüz Kaynak Tüketimi CWE-400
  13. Kullanıcı Kontrollü Anahtar Üzerinden Yetki Atlama CWE-639
  14. Dosya Erişiminden Önce Uygun Olmayan Bağlantı Çözünürlüğü (‘Bağlantı İzleme’) CWE-59
  15. Kaynağın Yanlış Alana Maruz Kalması CWE-668

Güvenlik Açıkları 2022’nin İlk 25 Listesinden Düştü

2022’nin ilk 25 listesinde yer alan iki güvenlik açığı, 2023’te 26-40’a düştü; bunlar arasında #24’ten #28’e inen XML Harici Varlık Referansının Uygunsuz Kısıtlanması yer alıyor.

İlk 25 listesinden düşen bir diğer güvenlik açığı ise 2022’de 23. sıradan 2023’te 37. sıraya düşen Kontrolsüz Kaynak Tüketimi oldu. Bu güvenlik açığı, 14 sıra gerileyen 1-40. sıralar arasındaki listedeki en büyük düşüş oldu.

Bununla birlikte, Hassas Bilgilerin Açık Metinle Depolanması (#40’tan #43’e), Uyumsuz Tür Kullanarak Kaynağa Erişim (#31’den #46’ya) ve Hassas Bilgilerin Açık Metin İletimi (#39’dan #48’e) dahil olmak üzere üç güvenlik açığı ilk 1-40 sıralama listesinden çıkarıldı.

CVE MITRE kuruluşu, 2023’ün en önemli güvenlik açıklarının güncel listesini gösteren “Zirvede” güvenlik açıklarının tam bir listesini yayınladı.



Source link