MITRE dévoile les 25 logiciels les plus dangereux de 2023 : Êtes-vous à risque ?

« Ces faiblesses entraînent de graves vulnérabilités dans les logiciels », a déclaré l’agence américaine de cybersécurité et de sécurité des infrastructures (CISA). « Un attaquant peut souvent exploiter ces vulnérabilités pour prendre le contrôle d’un système affecté, voler des données ou empêcher des applications de fonctionner. »

La liste se fonde sur une analyse des données publiques relatives aux vulnérabilités contenues dans le National Vulnerability Data (NVD) pour déterminer les causes profondes des faiblesses CWE au cours des deux dernières années. Au total, 43 996 entrées CVE ont été examinées et une note a été attribuée à chacune d’entre elles en fonction de sa prévalence et de sa gravité.

L’écriture hors limites arrive en tête, suivie de l’écriture intersite, de l’injection SQL, de l’utilisation après libération, de l’injection de commande OS, de la validation d’entrée incorrecte, de la lecture hors limites, du détournement de chemin, de la falsification de requête intersite (CSRF) et du téléchargement sans restriction de fichier de type dangereux. L’écriture hors limites a également pris la première place en 2022.

70 vulnérabilités ajoutées au catalogue KEV (Known Exploited Vulnerabilities) en 2021 et 2022 étaient des bogues d’écriture hors limites. Une catégorie de faiblesses a disparu du Top 25 : Improper Restriction of XML External Entity Reference (restriction inappropriée de la référence à une entité externe XML).

« L’analyse des tendances sur les données de vulnérabilité comme celle-ci permet aux organisations de prendre de meilleures décisions en matière d’investissement et de politique de gestion des vulnérabilités », a déclaré l’équipe de recherche Common Weakness Enumeration (CWE).