Cyberthreat.id - MITRE Corporation merilis The Common Weakness Enumeration (CWE) Top 25 Most Dangerous Software Errors (CWE Top 25) yang tersebar luas dan mengarah pada kerentanan serius. Lembaga nirlaba dari Amerika ini menyusun daftar berdasarkan kerentanan yang diterbitkan dalam National Vulnerability Database.

Pada laman MITRE.org disebutkan, kelemahan itu seringkali mudah ditemukan dan dieksploitasi. “Mereka berbahaya karena mengambil alih pelaksanaan perangkat lunak, mencuri data, atau mencegah perangkat lunak bekerja,” kata MITRE. 

Disebutkan, CWE Top 25 adalah sumber daya komunitas yang dapat digunakan pengembang perangkat lunak, penguji perangkat lunak, pelanggan perangkat lunak, manajer proyek perangkat lunak, peneliti keamanan, dan pendidik untuk memberikan wawasan tentang beberapa ancaman keamanan yang paling umum di industri perangkat lunak.

MITRE mengatakan bahwa daftar tersebut dihasilkan berdasarkan pendekatan berbasis data yang didasarkan pada CVE yang diterbitkan NVD, serta skor CVSS yang terkait dengannya.

“Formula penilaian kemudian diterapkan untuk menentukan tingkat prevalensi dan bahaya yang disajikan oleh setiap kelemahan. Pendekatan yang digerakkan oleh data ini dapat digunakan sebagai proses yang diulang dan dituliskan untuk menghasilkan daftar Top 25 CWE secara teratur dengan upaya minimal,” kata MITER.

Menurut MITRE, daftar 2019 adalah rilis terbaru sejak 2011 CWE / SANS Top 25, "CWE / SANS Top 25 2011 dibangun menggunakan survei dan wawancara pribadi dengan pengembang, analis keamanan, peneliti, dan vendor terkemuka, tetapi daftar 2019 didasarkan pada real- kerentanan dunia. 

Daftar 25 Teratas CWE

MITRE memberikan daftar kerentanan dengan skor dan deskripsi CVSS keseluruhan untuk masing-masing dengan contoh.

• [1] CWE-119 - Improper Restriction of Operations within the Bounds of a Memory Buffer, skor  75.56
• [2] CWE-79 - Improper Neutralization of Input During Web Page Generation (Cross-site Scripting) skor 45.69
• [3] CWE-20 - Improper Input Validation, skor 43.61
• [4] CWE-200 - Information Exposure, skor 32.12
• [5] CWE-125 - Out-of-bounds Read, skor 26.53
• [6] CWE-89 - Improper Neutralization of Special Elements used in an SQL Command (SQL Injection) skor 24.54
• [7] CWE-416 - Use After Free, skor 17.94
• [8] CWE-190 - Integer Overflow or Wraparound, skor 17.35
• [9] CWE-352 - Cross-Site Request Forgery (CSRF), skor 15.54
• [10] CWE-22 - Improper Limitation of a Pathname to a Restricted Directory (Path Traversal), skor 14.10
• [11] CWE-78 - Improper Neutralization of Special Elements used in an OS Command (OS Command Injection) skor 11.47
• [12] CWE-787 - Out-of-bounds Write, skor 11.08
• [13] CWE-287 - Improper Authentication, skor 10.78
• [14] CWE-476 - NULL Pointer Dereference, skor 9.74
• [15] CWE-732 - Incorrect Permission Assignment for Critical Resource, skor 6.33
• [16] CWE-434 - Unrestricted Upload of File with Dangerous Type, skor 5.50
• [17] CWE-611 - Improper Restriction of XML External Entity Reference, skor 5.48
• [18] CWE-94 - Improper Control of Generation of Code (Code Injection), skor 5.36
• [19] CWE-798 - Use of Hard-coded Credentials, skor 5.12
• [20] CWE-400 - Uncontrolled Resource Consumption, skor 5.04
• [21] CWE-772 - Missing Release of Resource after Effective Lifetime, skor 5.04
• [22] CWE-426 - Untrusted Search Path, skor 4.40
• [23] CWE-502 - Deserialization of Untrusted Data, skor 4.30
• [24] CWE-269 - Improper Privilege Management, skor 4.23
• [25] CWE-295 - Improper Certificate Validation, skor 4.06

CWE dihitung oleh MITER, berdasarkan pada rumus penilaian, kerentanan yang umum dan menyebabkan dampak tinggi akan menerima skor tinggi.