MITRE publica su lista anual de las 25 debilidades de software más peligrosas de 2024, que revela vulnerabilidades críticas que plantean riesgos importantes para los sistemas de software de todo el mundo.
Esta lista, creada en asociación con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), es un recurso importante para desarrolladores, profesionales de seguridad y organizaciones que buscan fortalecer sus defensas de ciberseguridad.
La lista CWE Top 25 de 2024 identifica las vulnerabilidades de software más graves y prevalentes asociadas con más de 31.770 registros de vulnerabilidades y exposiciones comunes (CVE).
Los atacantes suelen aprovechar estas debilidades para comprometer sistemas, robar datos confidenciales o interrumpir servicios críticos. Esta lista se basa en un análisis de los registros CVE de junio de 2023 a junio de 2024, centrándose en las vulnerabilidades incluidas en el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA.
Maximizar el retorno de la inversión en ciberseguridad: consejos de expertos para líderes de PYME y MSP: asista al seminario web gratuito
Las 10 debilidades del software más peligrosas
A continuación se muestra una tabla que enumera las 25 debilidades de software más peligrosas de 2024, según MITRE.
RangoNombre de debilidadCWE IDScoreCVE en KEVCambio1Secuencias de comandos entre sitiosCWE-7956.923+12Escrituras fuera de límitesCWE-78745.2018-13Inyección SQLCWE-8935.88404Falsificación de solicitudes entre sitios (CSRF)CWE-35219.570+55 Recorrido de ruta CWE-2212.744+36 Lectura fuera de rango CWE-12511.423+17 Inyección de comando OS CWE-7811.305-28Gratis Después del uso CWE-41610.195-49 Autenticación faltante CWE-86210.110+210 Tipo de carga sin restricciones de archivos peligrosos CWE-43410.030011 Código Inyección de comando CWE-947.137+1212 Validación de entrada incorrecta CWE-206.781-613 Inyección de comando CWE-776.744+314 Autenticación incorrecta C WE-2875.944-115 Gestión de privilegios inadecuada CWE-2695.220+716 Deserialización de datos no confiables CWE-5025.075-117 Permitir que atacantes sin privilegios Divulgación de información confidencial CWE-2005.070+1318 Permisos no autorizados CWE-8634.052+619 Falsificación de solicitudes del lado del servidor (SSRF) CWE-9184.052020 Memoria Restricción inadecuada de operaciones dentro de los límites del búfer CWE-1193.692-321NULL Desreferencia de puntero CWE-4763.580-922 Uso de credenciales codificadas CWE-7983.462-423 Desbordamiento de enteros o envolvente CWE-1903.373-924 Consumo de recursos no controlado CWE-4003.230+1325 Autenticación faltante para funciones críticas CWE -3062.735-5
Esta tabla proporciona una descripción general completa de las 25 principales debilidades del software, incluido el ID de CWE, la puntuación, la cantidad de CVE en el catálogo de vulnerabilidades explotadas conocidas (KEV) y el cambio en la clasificación en comparación con el año pasado.
La lista CWE Top 25 es invaluable para orientar las inversiones y políticas de seguridad. Comprender las causas fundamentales de estas vulnerabilidades permite a las organizaciones implementar estrategias para evitar que ocurran.
Este enfoque proactivo aumenta la seguridad y reduce los costos al reducir la necesidad de remediación posterior a la implementación.
Se alienta a las organizaciones a incorporar CWE Top 25 en su ciclo de vida de desarrollo de software y procesos de adquisición. Al priorizar estas debilidades, las empresas pueden reducir el riesgo, demostrar un compromiso con la ciberseguridad y aumentar la confianza de los clientes.
Adoptar prácticas de Secure by Design es fundamental para los desarrolladores y los equipos de seguridad. Esto incluye incorporar medidas de seguridad en cada etapa del desarrollo de software para evitar la entrada de vulnerabilidades.
A medida que evolucionan las ciberamenazas, mantenerse informado sobre las debilidades de software más peligrosas es esencial para mantener sólidas defensas de ciberseguridad. La lista CWE Top 25 de 2024 proporciona un marco estratégico para abordar estos desafíos y proteger los sistemas críticos de la explotación.
¿Es miembro del equipo SOC/DFIR? Analice archivos y enlaces de malware con ANY.RUN -> Pruébelo gratis
