【样本分享】MITRE发布2024年最危险软件漏洞前25名

概要：

MITRE近日公布了2024年最常见和最危险的软件漏洞前25名，这些漏洞是2023年6月至2024年6月间披露的超过31,000个漏洞的根源。软件漏洞指的是代码、架构、实现或设计中的缺陷、错误和漏洞，攻击者可以利用这些漏洞入侵运行受影响软件的系统，获取敏感数据或触发拒绝服务攻击。

主要内容：

MITRE指出，这些漏洞通常易于发现和利用，可能导致攻击者完全控制系统、窃取数据或使应用程序无法正常工作。为了制定这一排名，MITRE对31,770个CVE记录进行了分析，重点关注CISA已知的被利用漏洞（KEV）目录中的安全缺陷。该年度名单识别了对手经常利用的关键软件漏洞，这些漏洞可能导致系统被攻陷、敏感数据被盗或重要服务中断。

在前25名中，跨站脚本（CWE-79）排名第一，其次是越界写入（CWE-787）和SQL注入（CWE-89）。这些漏洞的存在不仅影响了企业的安全性，也对国家安全构成威胁。CISA建议组织审查此名单，以指导其软件安全策略，优先考虑这些漏洞在开发和采购过程中的修复。

此外，CISA还定期发布“安全设计”警报，强调尽管有有效的缓解措施，许多广为人知的漏洞仍未被消除。随着网络攻击的不断演变，组织必须保持警惕，确保其软件和系统的安全性。