Aggiornamenti recenti Luglio 8th, 2025 2:50 PM
Lug 01, 2022 Redazione news In evidenza, News, RSS 0
È stata pubblicata la versione 2022 della CWE Top 25 , ossia l’elenco delle 25 vulnerabilità software più pericolose. Per creare l’elenco, il team CWE (Common Weakness Enumeration) ha utilizzato i dati del NIST (National Institute of Standards and Technology) e della CISA (Agenzia per la sicurezza informatica e delle infrastrutture).
Ha inoltre applicato una formula per assegnare un punteggio a ciascuna debolezza in base alla sua prevalenza e gravità. L’elenco mostra le vulnerabilità del software attualmente più comuni e di maggiore impatto. Spesso facili da trovare e da sfruttare, possono consentire a dei cyber criminali di prendere completamente il controllo di un sistema, di rubare dati o di impedire il funzionamento delle applicazioni.
La CWE Top 25 si propone come una risorsa pratica per contribuire alla mitigazione del rischio per tutti i professionisti che si occupano di software. Il set di dati analizzato per calcolare la classifica del 2022 conteneva un totale di 37.899 record CVE (Common Vulnerabilities and Exposure, un dizionario di vulnerabilità e falle di sicurezza note pubblicamente) dei due anni solari precedenti.
Al primo posto dell’elenco c’è la vulnerabilità Out-of-bounds write che, se sfruttata, permette la scrittura di dati al di fuori dei limiti del buffer, portando tipicamente alla corruzione dei dati, a un crash del sistema o all’esecuzione di codice.
Al secondo posto c’è il cross-site scripting (XSS), una vulnerabilità dei siti Web dinamici che permette di inserire o eseguire codice lato client per attuare diversi tipi attacchi. La terza falla dell’elenco è l’SQL injection, sfruttata per inserire comandi in applicazioni che gestiscono dati attraverso database relazionali sfruttando il linguaggio SQL.
Tra i cambiamenti più significativi di questa edizione c’è il fatto che sono entrate in classifica la race condition, chiamata in italiano situazione di corsa o semplicemente corsa, che è passata dal 33° al 22° posto, l’iniezione di codice (dalla posizione 28 alla 25) e il consumo incontrollato di risorse (da 27 a 23).
Rispetto all’elenco del 2021 sono stati eliminati tre tipi di vulnerabilità: l’esposizione di informazioni sensibili a un attore non autorizzato (scesa al 33° posto), le credenziali non sufficientemente protette (passate al 38°) e l’assegnazione di permessi errati per le risorse critiche (scesa al 30°).
Mag 22, 2025 0
Apr 16, 2025 0
Mar 13, 2025 0
Feb 07, 2025 0
Lug 08, 2025 0
Lug 07, 2025 0
Lug 07, 2025 0
Lug 04, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 07, 2025 0
Da giovedì scorso Ingram Micro sta soffrendo per via di...Lug 07, 2025 0
Nella settimana appena trascorsa, il CERT-AGID ha...Lug 04, 2025 0
Il Sinaloa, un cartello messicano, è riuscito ad...Lug 04, 2025 0
Scoperti due gravi bug in Sudo, il celebre strumento da...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...