Top 25 der gefährlichsten Software-Schwachstellen 2022
Das CWE-Projekt hat eine Liste der 25 gefährlichsten Sicherheitslücken für das Jahr 2022 zusammengestellt. Sie soll helfen, Risiken zu minimieren.
(Bild: Shutterstock)
Das Common Weakness Enumeration-Projekt (CWE) hat die Liste für das Jahr 2022 der 25 gefährlichsten Softwareschwachstellen zusammengestellt. Die Liste soll die derzeit am meisten vorkommenden Lücken mit den gravierendsten Auswirkungen aufführen. Sie soll unter anderem Softwarearchitekten, Designern, Entwicklern, Testern, Nutzern, Projektmanagern, Sicherheitsforschern, Ausbildern und bei Standard-entwickelnden Organisationen Zuarbeitenden dabei helfen, Risiken einzudämmen. An der diesjährigen Spitzenposition findet sich ein alter Bekannter: die Fehlerkategorie Buffer Overlow.
Die Tabelle basiert auf den Sicherheitslücken, die im vergangenen Jahr in der CVE-Datenbank sowie im Katalog der bekannten und missbrauchten Schwachstellen der US-amerikanischen Cyber-Sicherheitsbehörde CISA eingegangen sind. Diese haben die Autoren gesichtet und die zugrundeliegenden Sicherheitslücken CWE-Einträgen zugeordnet, die den Typ von Schwachstellen beschreiben.
Die 25 gravierendsten Schwachstellen
Die Schwachstellenart in der Software haben die Autoren nicht immer direkt aus den CVE-Einträgen übernommen, sondern versucht, diese auf eine gemeinsame Basis zurückzuführen. Sie nennen das in der Erläuterung ihrer Methodik "normalisieren". So haben sie etwa einen Heap-basierten Pufferüberlauf nicht als CWE-122 gewertet, sondern auf die Basis Schreiben außerhalb der Begrenzungen (Out-of-Bounds Write) abgebildet, mit der CWE-Nummer 787.
| Platz | ID | Beschreibung |
| 1 | CWE-787 | Out-of-bounds Write |
| 2 | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') |
| 4 | CWE-20 | Improper Input Validation |
| 5 | CWE-125 | Out-of-bounds Read |
| 6 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') |
| 7 | CWE-416 | Use After Free |
| 8 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') |
| 9 | CWE-352 | Cross-Site Request Forgery (CSRF) |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type |
| 11 | CWE-476 | NULL Pointer Dereference |
| 12 | CWE-502 | Deserialization of Untrusted Data |
| 13 | CWE-190 | Integer Overflow or Wraparound |
| 14 | CWE-287 | Improper Authentication |
| 15 | CWE-798 | Use of Hard-coded Credentials |
| 16 | CWE-862 | Missing Authorization |
| 17 | CWE-77 | Improper Neutralization of Special Elements used in a Command ('Command Injection') |
| 18 | CWE-306 | Missing Authentication for Critical Function |
| 19 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer |
| 20 | CWE-276 | Incorrect Default Permissions |
| 21 | CWE-918 | Server-Side Request Forgery (SSRF) |
| 22 | CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition') |
| 23 | CWE-400 | Uncontrolled Resource Consumption |
| 24 | CWE-611 | Improper Restriction of XML External Entity Reference |
| 25 | CWE-94 | Improper Control of Generation of Code ('Code Injection') |
Die konkrete Tabelle umfasst zunächst die 25 angekündigten Einträge. Die Autoren der CWE-Top25-Liste verweisen jedoch auf 15 weitere häufige Softwarefehler, die IT-Verantwortliche, die mit dem Umgang und der Risiko-Entscheidungsfindung betraut sind, ebenfalls stärker berücksichtigen sollten.
Die CWE trägt jährlich die Top 25 der Schwachstellen zusammen. So auch im vergangenen Jahr 2021, wo der gemeine Pufferüberlauf ebenfalls die Liste anführte.
(dmk)
