摘要： CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的，以获取前两个日历年 CWE 弱点的根本原因映射。

本文分享自华为云社区《2023年最具威胁的25种安全漏洞(CWE TOP 25)》，作者： Uncle_Tom 。

CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的，以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现CWE Top25帮助降低风险的方便且实用资源。

1. CWE 4.12发布

最近几年，每年6月CWE发布的版本都成为一年中最重要的版本，因为里面包含了新的CWE TOP 25 视图，也就是我们常说的：CWE最具威胁的25种缺陷。

CWE 4.12 在6月29号发布，里面包含了重要的2023年TOP25视图: CWE-1425。同时这次的TOP 25还包括从美国网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目录中观察到的示例，以显示与现实世界漏洞的相关性。

另一个重要的变动是在所有 CWE 条目中添加了一个新的节点 - 漏洞映射说明（Mapping_Notes）。这些说明将使用户能够更准确地将漏洞（例如 CVE）映射到其根本原因弱点。以前，映射注释仅在“注释”部分中可用于少数 CWE 条目。为此新版本的CWE，将原有的xml的schema从6.9升级到7.0, 用于完善这个节点的定义。

2. CWE新的节点 – 漏洞映射说明(Mapping_Notes)

我们从cwe_schema_v7.0.xsd中可以看到，新增加的节点"Mapping_Notes"的定义类型为：

“cwe:MappingNotesType”。
<xs:element name="Mapping_Notes" type="cwe:MappingNotesType" minOccurs="0" maxOccurs="1"/>

再看"MappingNotesType"的具体定义为：

<xs:complexType name="MappingNotesType">
<xs:annotation>
<xs:documentation>The MappingNotesType complex type provides guidance for when (and whether) to map an issue to this CWE entry or to suggest alternatives. The Usage element describes whether the CWE should be used for mapping vulnerabilities to their underlying weaknesses as part of root cause analysis. The Rationale element provides context for the Usage. The Comments element provides further clarification to the reader. The Reasons element uses a limited vocabulary to summarize the Usage. The Suggestions element includes suggestions for additional CWEs that might be more appropriate for the mapping task.</xs:documentation>
</xs:annotation>
<xs:sequence>
 <xs:element name="Usage" type="cwe:UsageEnumeration"  minOccurs="1" maxOccurs="1"/>
<xs:element name="Rationale" type="cwe:StructuredTextType"  minOccurs="1" maxOccurs="1"/>
<xs:element name="Comments" type="cwe:StructuredTextType" minOccurs="1" maxOccurs="1"/>
 <xs:element name="Reasons" type="cwe:ReasonsType" minOccurs="1" maxOccurs="1"/>
 <xs:element name="Suggestions" type="cwe:SuggestionsType" minOccurs="0" maxOccurs="1"/>
</xs:sequence>
</xs:complexType>

从这个定义可以看出在"Mapping_Notes"节点下，还有5个子节点，其中"Usage",“Rationale”,“Comments”,"Reasons"是强制必须有的节点，"Suggestions"为可选节点。

这个节点信息的增加，将为我们在CWE与缺陷映射时，提供极大的帮助，以提高映射的准确性。

CWE的工作者们已经意识到CWE与缺陷的映射时出现的重叠或CWE之间存在模糊的交集，会给缺陷分类带来很多的困惑，最最近的几个版本中，正试图通过增加节点以及映射说明，逐步的修正这个问题。特别是CWE 4.11中添加了新的软件保障趋势视图综合分类:CWE-1400，将所有弱点分组（如“内存安全”），以便于分析软件保障中的趋势和优先级。

3. CWE 2023 TOP 25

CWE Top 25 是通过分析美国国家标准与技术研究院(National Institute of Standards and Technology（NIST)） 美国国家漏洞数据库(U.S. National Vulnerability Database（NVD）)中的公共漏洞数据来计算的，以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、窃取数据或阻止应用程序运行。

2023年 CWE TOP25 包含最近常见漏洞和披露（Common Vulnerabilities and Exposures (CVE））记录的更新弱点数据，这些数据是网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency’s (CISA))已知被利用漏洞(Known Exploited Vulnerabilities (KEV)) 目录的一部分。

CWE 通过分析2021到2022年报告的43,996个CVE漏洞，得到了2023 最具威胁的25种漏洞。

对此类漏洞数据进行趋势分析使组织能够在漏洞管理方面做出更好的投资和政策决策。许多处理软件的专业人士会发现 CWE Top 25 是帮助降低风险的实用且方便的资源。

• 2023 CWE TOP25排行

3.1. 缺陷变动情况

• 名单中上升最快的是：

  • CWE-416:释放后使用, 从 #7 上升到 #3;
  • CWE-862:授权机制缺失, 从 #16 上升到 #11;
  • CWE-269:特权管理不恰当, 从 #29 上升到 #22;
  • CWE-863:授权机制不正确, 从 #28 上升到 #24。

• 名单中跌幅最大的是：

  • CWE-502:不可信数据的反序列化, #12 降为 #15;
  • CWE-798:使用硬编码的凭证, 从 #15 降为 #18;
  • CWE-276:缺省权限不正确, 从 #20 降为 #25。

• 前25名中的新进缺陷是：

  • CWE-269:特权管理不恰当, 从 #29 上升到 #22;
  • CWE-863:授权机制不正确, 从 #28 上升到 #24。

• 跌出前25名的缺陷是：

  • CWE-400:未加控制的资源消耗(资源耗尽), 从 #23 跌到 #37;
  • CWE-611:XML外部实体引用的不恰当限制(XXE), 从 #24 跌到 #28。

点击关注，第一时间了解华为云新鲜技术~