W listopadzie 2024 roku organizacja MITRE opublikowała najnowszą edycję listy
2024 CWE Top 25 Most Dangerous Software Weaknesses. Lista ta stanowi jedno z
najważniejszych narzędzi w arsenale specjalistów ds. bezpieczeństwa, wskazując najbardziej krytyczne podatności, które
mogą prowadzić do poważnych zagrożeń bezpieczeństwa.

Common Weakness Enumeration (CWE) to standard opracowany przez organizację MITRE, który klasyfikuje i
opisuje podatności oraz ich przyczyny w oprogramowaniu i sprzęcie. CWE pełni funkcję wspólnego języka, który umożliwia
efektywną komunikację pomiędzy programistami, specjalistami ds. bezpieczeństwa oraz narzędziami analitycznymi. Dzięki
temu organizacje mogą bardziej świadomie identyfikować ryzyko i wdrażać środki zaradcze.

Lista CWE Top 25 wyróżnia te podatności, które mają największy wpływ na bezpieczeństwo oprogramowania
i najczęściej są wykorzystywane przez cyberprzestępców. Analizując je, możemy lepiej zrozumieć, jakie zagrożenia
obecnie są dominujące.

Jak powstaje lista CWE Top 25?

Lista CWE Top 25 tworzona jest w oparciu o dane z publicznie dostępnych raportów o podatnościach,
zawartych w bazie Common Vulnerabilities and Exposures (CVE). W edycji 2024 roku przeanalizowano ponad
31 770 rekordów CVE, które zostały zgłoszone w okresie od 1 czerwca 2023 do 1 czerwca 2024.

Każda podatność została oceniona na podstawie:

• Częstości występowania – liczba zgłoszeń związanych z danym typem podatności.
• Średniego poziomu CVSS – mierzonego za pomocą wskaźnika CVSS (Common Vulnerability Scoring System).

Dzięki temu podejściu lista odzwierciedla zarówno statystyczną dominację, jak i rzeczywisty wpływ danej podatności
na bezpieczeństwo systemów. W rezultacie powstaje ranking, który pomaga organizacjom efektywnie zarządzać ryzykiem.

Wnioski z edycji 2024

Tegoroczna lista przyniosła kilka istotnych zmian w porównaniu do edycji z 2023 roku. Poniżej najważniejsze obserwacje:

1. Dominacja Cross-Site Scripting (XSS)
   CWE-79: Improper Neutralization of Input During Web Page Generation (’Cross-Site Scripting’) odzyskała
   pierwsze miejsce, wyprzedzając podatność CWE-787: Out-of-bounds Write, która spadła na drugą pozycję.
2. Wzrost znaczenia CSRF
   CWE-352: Cross-Site Request Forgery (CSRF) awansowała aż o pięć pozycji i zajmuje obecnie czwarte miejsce.
3. Podatności związane z niekontrolowaną alokacją zasobów
   Nowością na liście jest CWE-400: Uncontrolled Resource Consumption, która zajęła 24. pozycję.
4. Ekspozycja wrażliwych informacji
   CWE-200: Exposure of Sensitive Information to an Unauthorized Actor to kolejna nowość, która uplasowała się
   na 17. miejscu.
5. Silny awans ataków typu Code Injection
   CWE-94: Improper Control of Generation of Code (’Code Injection’) przesunęła się z 23. na 11. miejsce.

Zalecenia do zarządzania podatnościami

Aby efektywnie zarządzać podatnościami, organizacje powinny wdrażać następujące praktyki:

• Regularne testy penetracyjne – identyfikują podatności zanim zostaną wykorzystane przez atakujących.
• Automatyczne skanowanie kodu – narzędzia takie jak SAST i DAST mogą wykrywać podatności w kodzie źródłowym.
• Ciągłe szkolenie zespołów IT – zwiększanie świadomości zespołów o nowych zagrożeniach i dobrych praktykach.
• Monitorowanie trendów – śledzenie publikacji takich jak CWE Top 25 umożliwia dostosowanie strategii bezpieczeństwa.