MITRE組織分享了2022年最常見和最危險的25個弱點名單，該名單可以幫助企業評估企業基礎設施的安全情況，MITRE表示：“如果企業的基礎設施涉及相關的漏洞弱點，就可能受到未知黑客的攻擊。”

“軟件弱點往往都很容易被針對，并最終會導致可利用漏洞的產品，從而讓對手完全接管系統、竊取數據或讓業務停擺。”MITRE在發布的公告中寫道。

據悉，MITRE綜合過去NIST、NVD數據，結合CVE與NVD的數據庫中的危害性評分，統計了名單列表。

以下是2022年CWE前25個最危險的軟件弱點名單：

具體來看該榜單的幾個排名變化，有幾個弱點掉出了榜單排名或首次出現在前25名的排名中。

首先榜單上最大的變動是：

• CWE-362(使用共享資源的并發執行與不當的同步(“競爭條件”))從第33位上升到第22位;
• CWE-94(“代碼注入”)從第28位上升到第25位;
• CWE-400(不受控制的資源消耗)從第27位上升到第23位;
• CWE-77 (“命令注入”)從第25位上升到第17位;
• CWE-476(空指針間接引用)則從第15位上升到第11位。

而下降幅度最大的是：

• CWE-306(關鍵功能認證缺失)從第11位降低到第18位;
• CWE-200 (將敏感信息暴露給未經授權的行為者)從第20位降低到第33位;
• CWE-522(憑證保護不足)從第21位下降到第38位;
• 最后一個是CWE-732(關鍵資源的權限分配不正確)從第22名降低至第30名。

有三條新進入到前25名的條目，它們是：

• CWE-362 (使用共享資源的并發執行與不當的同步(“競爭條件”))從第33位升至第22位：
• CWE-94 (“代碼注入”)從第28名上升至第25名
• CWE-400 (不受控制的資源消耗)則是從第27名上升到第23名

相對的也有三條條目跌出前25名，它們是：

• CWE-200(將敏感信息暴露給未經授權的行為者)從第20位降至第33位;
• CWE-522 (憑證保護不足)從第21位降至第38位;
• CWE-732(關鍵資源的不正確權限分配)從第22位到第30位。