• 2024 CWE TOP 25
  

1. CWE 4.16发布

这个版本的变更主要有三个：

• 添加 1 个新的人工智能(AI)相关弱点：CWE-1427:LLM 提示的输入不当(Improper Neutralization of Input Used for LLM Prompting)

• 为 14 个的弱点页面提供可用性改进;

• 发布 2024 年 CWE 前 25 大最危险软件弱点列表。

2. 一个新的 AI 相关的弱点

在 CWE 上一个版本 4.15 中添加了一个 AI 输出的一个弱点：CWE-1426:生成式 AI 输出验证不当(Improper Validation of Generative AI Output)。 详见《CWE 4.15 - AI/ML 引入的应用缺陷》。

这次又增加了一个关于 AI 输入的弱点：CWE-1427:LLM 提示的输入不当(Improper Neutralization of Input Used for LLM Prompting) 。

• CWE-1426、CWE-1427 在 CWE-1000 研究者视图中位置：
  

• CWE-1426、CWE-1427 在 CWE-1400 研究者视图中位置：
  

• CWE-1426、CWE-1427 对应到OWASP 大模型应用最常见的10个关键安全问题

具体对应到 OWASP 大模型应用最常见的10个关键安全问题的位置如下图。

从这个图可以看到，后面还有会更多的有关 AI 的弱点被加入 CWE 中。

3. 可用性改进

从上个版本 CWE 4.15 开始，CWE 启动了一个可用性改进的项目，为一些 CWE 弱点增加了插图，便于用户理解弱点的原理。 CWE 4.15 一共增加了 2023 年 CWE TOP 25 个中的 15 个弱点，详见《CWE 4.15 - AI/ML 引入的应用缺陷》。

这次 CWE 4.16 中，又为 14 个 CWE 弱点增加了插图。如下：

分类	CWE	插图
CWE-1396:访问控制(Comprehensive Categorization: Access Control)	CWE-288:使用候选路径或通道进行的认证绕过(Authentication Bypass Using an Alternate Path or Channel)
-	CWE-307:过多认证尝试的限制不恰当(Improper Restriction of Excessive Authentication Attempts)
-	CWE-601:指向未可信站点的URL重定向(开放重定向)(URL Redirection to Untrusted Site (‘Open Redirect’))
-	CWE-862:授权机制缺失(Missing Authorization)
-	CWE-863:授权机制不正确(Incorrect Authorization)
-	CWE-918:服务端请求伪造(SSRF)(Server-Side Request Forgery (SSRF))
CWE-1401:并发问题(Comprehensive Categorization: Concurrency)	CWE-362:使用共享资源的并发执行不恰当同步问题(竞争条件)(Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’))
CWE-1402:加密问题(Comprehensive Categorization: Encryption)	CWE-347:密码学签名的验证不恰当(Improper Verification of Cryptographic Signature)
CWE-1417:敏感信息泄露(Comprehensive Categorization: Sensitive Information Exposure)	CWE-201:发送的数据中包含敏感信息(Insertion of Sensitive Information Into Sent Data)
-	CWE-359:将人个信息暴露给未经授权的行为者(Exposure of Private Personal Information to an Unauthorized Actor)
-	CWE-532:日志文件中包含敏感信息(Insertion of Sensitive Information into Log File)
CWE-1410:控制流管理不足(Comprehensive Categorization: Insufficient Control Flow Management)	CWE-835:不可达退出条件的循环(无限循环)(Loop with Unreachable Exit Condition (‘Infinite Loop’))
CWE-1413:保护机制故障(Comprehensive Categorization: Protection Mechanism Failure)	CWE-184:不完整的黑名单(Incomplete List of Disallowed Inputs)
CWE-1415:资源控制(Comprehensive Categorization: Resource Control)	CWE-502:不可信数据的反序列化(Deserialization of Untrusted Data)

4. CWE 2024 TOP 25

2024 年的 CWE TOP 25 并没有向往年的 7 月份发布。这是因为，以往的年度 TOP 25 使用的是日历年的 CVE， 而今年的 TOP 25 的数据集包括 2023 年 6 月 1 日至 2024 年 6 月 1 日期间发布的 31,770 条漏洞的 CVE 记录。

历年的 TOP 25 可以参考以前的博文：

• 从过去5年CWE TOP 25的数据看软件缺陷的防护
• 2023年最具威胁的25种安全漏洞(CWE TOP 25)
• CWE4.8 – 2022年危害最大的25种软件安全问题
• CWE发布2021年最危险的25种软件缺陷

4.1. 2024 CWE TOP 25 排行

排行	CWE	得分	CVE in KEV	变动
1	CWE-79: 在Web页面生成时对输入的转义处理不恰当(跨站脚本)	56.92	3	+1
2	CWE-787: 跨界内存写	45.20	18	-1
3	CWE-89: SQL命令中使用的特殊元素转义处理不恰当(SQL注入)	35.88	4	0
4	CWE-352: 跨站请求伪造(CSRF)	19.57	0	+5
5	CWE-22: 对路径名的限制不恰当(路径遍历)	12.74	4	+3
6	CWE-125: 跨界内存读	11.42	3	+1
7	CWE-78: OS命令中使用的特殊元素转义处理不恰当(OS命令注入)	11.30	5	-2
8	CWE-416: 释放后使用	10.19	5	-4
9	CWE-862: 授权机制缺失	10.11	0	+2
10	CWE-434: 危险类型文件的不加限制上传	10.03	0	0
11	CWE-94: 对生成代码的控制不恰当(代码注入)	7.13	7	+12
12	CWE-20: 输入验证不恰当	6.78	1	-6
13	CWE-77: 在命令中使用的特殊元素转义处理不恰当(命令注入)	6.74	4	+3
14	CWE-287: 认证机制不恰当	5.94	4	-1
15	CWE-269: 特权管理不恰当	5.22	0	+7
16	CWE-502: 不可信数据的反序列化	5.07	5	-1
17	CWE-200: 将敏感信息暴露给未经授权的行为者	5.07	0	+13
18	CWE-863: 授权机制不正确	4.05	2	+6
19	CWE-918: 服务端请求伪造(SSRF)	4.05	2	0
20	CWE-119: 内存缓冲区边界内操作的限制不恰当	3.69	2	-3
21	CWE-476: 空指针解引用	3.58	0	-9
22	CWE-798: 使用硬编码的凭证	3.46	2	-4
23	CWE-190: 整数溢出或超界折返	3.37	3	-9
24	CWE-400: 未加控制的资源消耗(资源耗尽)	3.23	0	+13
25	CWE-306: 关键功能的认证机制缺失	2.73	5	-5

4.2. 缺陷变动情况

• 名单中维持不变的是：

  • #3 | CWE-89: SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
  • #10 | CWE-434: 危险类型文件的不加限制上传
  • #19 | CWE-918: 服务端请求伪造(SSRF)

• 名单中上升的是：

  • CWE-352: 跨站请求伪造(CSRF) , 从 #9 上升到 #4;
  • CWE-94: 对生成代码的控制不恰当(代码注入) , 从 #23 上升到 #11;
  • CWE-269: 特权管理不恰当, 从 #22 上升到 #15;
  • CWE-863: 授权机制不正确, 从 #24 上升到 #18。

• 名单中下降的是：

  • CWE-20: 输入验证不恰当, #6 降为 #12;
  • CWE-476: 空指针解引用, 从 #12 降为 #21;
  • CWE-190: 整数溢出或超界折返, 从 #14 降为 #23;
  • CWE-306: 关键功能的认证机制缺失, 从 #20 降为 #25。

• 前25名中的新进缺陷是：

  • CWE-400: 未加控制的资源消耗(资源耗尽), 从 #37 上升到 #24;
  • CWE-200: 将敏感信息暴露给未经授权的行为者, 从 #30 上升到 #17。

• 跌出前25名的缺陷是：

  • CWE-362:使用共享资源的并发执行不恰当同步问题(竞争条件), 从 #21 跌到 #34;
  • CWE-276:缺省权限不正确, 从 #25 跌到 #36。

总结

• 随着 AI 应用范围的扩大，越来越多的 AI 相关的漏洞被发现。软件开发中，除了传统的软件缺陷漏洞，AI 缺陷漏洞的防御也需要引起重视；
• CWE 的可用性改进再次推出 14 个插图，以此来提高一般开发人员对安全防御的认识，软件安全的重要性是需要被普遍认知，才能从根本上解决软件安全的防护；
• 连续多年的 CWE TOP 25 推出，有助于：
  • 软件缺陷的根因分析，这是投资、政策和实践的有力指南，以便一开始就防止这些软件缺陷的发生，从而使行业和利益相关者受益；
  • 减少漏洞 – 深入了解常见的根本原因，为供应商的 SDLC 和架构规划提供有价值的反馈，帮助消除所有类别的缺陷（例如，内存安全、注入）；
  • 节省成本 – 产品开发中的漏洞减少意味着部署后需要管理的问题更少，最终节省资金和资源；
  • 趋势分析 – 洞察数据趋势使组织能够更好地专注于安全工作；
  • 可利用性洞察 – 某些弱点（例如命令注入）会吸引对手的注意力，从而实现风险优先级排序；
  • 客户信任 – 组织如何解决这些弱点的透明度表明了对产品安全的承诺。