Top 25 der gefährlichsten Software-Schwachstellen 2022

Das CWE-Projekt hat eine Liste der 25 gefährlichsten Sicherheitslücken für das Jahr 2022 zusammengestellt. Sie soll helfen, Risiken zu minimieren.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 14 Beiträge
Aufmacher Top25 CWE-Sicherheitslücken 2022

(Bild: Shutterstock)

Von
  • Dirk Knop

Das Common Weakness Enumeration-Projekt (CWE) hat die Liste für das Jahr 2022 der 25 gefährlichsten Softwareschwachstellen zusammengestellt. Die Liste soll die derzeit am meisten vorkommenden Lücken mit den gravierendsten Auswirkungen aufführen. Sie soll unter anderem Softwarearchitekten, Designern, Entwicklern, Testern, Nutzern, Projektmanagern, Sicherheitsforschern, Ausbildern und bei Standard-entwickelnden Organisationen Zuarbeitenden dabei helfen, Risiken einzudämmen. An der diesjährigen Spitzenposition findet sich ein alter Bekannter: die Fehlerkategorie Buffer Overlow.

Die Tabelle basiert auf den Sicherheitslücken, die im vergangenen Jahr in der CVE-Datenbank sowie im Katalog der bekannten und missbrauchten Schwachstellen der US-amerikanischen Cyber-Sicherheitsbehörde CISA eingegangen sind. Diese haben die Autoren gesichtet und die zugrundeliegenden Sicherheitslücken CWE-Einträgen zugeordnet, die den Typ von Schwachstellen beschreiben.

Die Schwachstellenart in der Software haben die Autoren nicht immer direkt aus den CVE-Einträgen übernommen, sondern versucht, diese auf eine gemeinsame Basis zurückzuführen. Sie nennen das in der Erläuterung ihrer Methodik "normalisieren". So haben sie etwa einen Heap-basierten Pufferüberlauf nicht als CWE-122 gewertet, sondern auf die Basis Schreiben außerhalb der Begrenzungen (Out-of-Bounds Write) abgebildet, mit der CWE-Nummer 787.

Platz ID Beschreibung
1 CWE-787 Out-of-bounds Write
2 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
3 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')
4 CWE-20 Improper Input Validation
5 CWE-125 Out-of-bounds Read
6 CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')
7 CWE-416 Use After Free
8 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
9 CWE-352 Cross-Site Request Forgery (CSRF)
10 CWE-434 Unrestricted Upload of File with Dangerous Type
11 CWE-476 NULL Pointer Dereference
12 CWE-502 Deserialization of Untrusted Data
13 CWE-190 Integer Overflow or Wraparound
14 CWE-287 Improper Authentication
15 CWE-798 Use of Hard-coded Credentials
16 CWE-862 Missing Authorization
17 CWE-77 Improper Neutralization of Special Elements used in a Command ('Command Injection')
18 CWE-306 Missing Authentication for Critical Function
19 CWE-119 Improper Restriction of Operations within the Bounds of a Memory Buffer
20 CWE-276 Incorrect Default Permissions
21 CWE-918 Server-Side Request Forgery (SSRF)
22 CWE-362 Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')
23 CWE-400 Uncontrolled Resource Consumption
24 CWE-611 Improper Restriction of XML External Entity Reference
25 CWE-94 Improper Control of Generation of Code ('Code Injection')

Die konkrete Tabelle umfasst zunächst die 25 angekündigten Einträge. Die Autoren der CWE-Top25-Liste verweisen jedoch auf 15 weitere häufige Softwarefehler, die IT-Verantwortliche, die mit dem Umgang und der Risiko-Entscheidungsfindung betraut sind, ebenfalls stärker berücksichtigen sollten.

Die CWE trägt jährlich die Top 25 der Schwachstellen zusammen. So auch im vergangenen Jahr 2021, wo der gemeine Pufferüberlauf ebenfalls die Liste anführte.

(dmk)