近日，美國非盈利性研究機構MITRE發布了2023版軟件安全安全缺陷清單（CWE  Top25），對過去兩年中嚴重危害軟件應用安全的25個安全缺陷進行了分析和評價。

軟件安全缺陷涉及一系列廣泛的問題，包括軟件的架構設計和代碼實現過程中存在的缺陷、瑕疵、漏洞和錯誤等。這些安全缺陷可能導致軟件在運行過程中出現嚴重的安全隱患和漏洞。攻擊者可以利用這些缺陷來控制受影響的系統、竊取數據或破壞正常的生產活動。

MITRE研究人員表示，在編制這份軟件安全缺陷清單的過程中，他們重點分析了NIST漏洞數據庫（NVD）中2021-2022年里所發現和報告的43996個CVE條目，特別是其中被添加到CISA（美國網絡安全和基礎設施安全局）已知利用漏洞（KEV）目錄中的CVE記錄，然后根據相關漏洞的嚴重程度和流行程度進行了綜合評分。今年清單中所收錄的25個安全缺陷之所以很危險，是由于它們均實際產生了重大的安全性影響，并且廣泛出現近兩年所發布的軟件系統中。

對于應用軟件的架構師、設計師、開發人員和使用者而言，這份清單將是一種實用且方便的參考資源，有助于降低風險。以下是今年清單收錄的Top25安全缺陷具體信息：

據了解，MITRE研究人員在接下來一段時間里，還將繼續發布一系列關于CWE Top 25方法、漏洞映射趨勢及其他實用信息的報告，旨在進一步闡明加強軟件缺陷管理的作用和方法。

參考鏈接：

https://www.bleepingcomputer.com/news/security/mitre-releases-new-list-of-top-25-most-dangerous-software-bugs/