由CISA赞助并由 MITRE 运营的国土安全系统工程与开发研究所发布了2022 年常见弱点枚举 (CWE) 前 25 个最危险的软件弱点列表。该列表使用来自国家漏洞数据库的数据 来编译可能导致软件严重漏洞的最常见和最严重的错误。攻击者通常可以利用这些漏洞来控制受影响的系统、获取敏感信息或导致拒绝服务状况。今年的列表还包含数据集中最近常见漏洞和暴露记录的更新弱点数据，这些数据是 CISA 的已知利用漏洞目录的一部分。

CISA 鼓励用户和管理员查看 2022 年 CWE 前 25 个最危险的软件弱点，并评估推荐的缓解措施以确定最适合采用的缓解措施。

许多与软件打交道的专业人士会发现 CWE Top 25 是一种实用且方便的资源，有助于降低风险。这可能包括软件架构师、设计师、开发人员、测试人员、用户、项目经理、安全研究人员、教育工作者和标准开发组织 (SDO) 的贡献者。

CWE团队利用了美国国家标准与技术研究院 (NIST)国家漏洞数据库 (NVD)中的常见漏洞和暴露 (CVE®)数据以及与每个 CVE 相关的常见漏洞评分系统 (CVSS)分数记录，包括关注网络安全和基础设施安全局 (CISA)已知利用漏洞 (KEV) 目录中的 CVE 记录。对数据应用了一个公式，以根据患病率和严重程度对每个弱点进行评分。

为计算 2022 年前 25 名而分析的数据集包含前两个日历年的总共 37,899 条 CVE 记录。

以下是 2022 CWE Top 25 中的弱点列表，包括每个弱点的总分。KEV 计数 (CVE) 显示 CISA KEV 列表中映射到给定漏洞的 CVE-2020/CVE-2021 记录的数量。

与去年的榜单相比，弱点类型的排名位置有几个显著变化，包括一些弱点下降或首次出现在前 25 名中。

名单上最大的推动者是：

CWE-362（使用不正确同步的共享资源并发执行（'竞争条件'））：从 #33 到 #22

CWE-94（代码生成控制不当（'代码注入'））：从 #28 到 #25

CWE-400（不受控制的资源消耗）：从 #27 到 #23

CWE-77（命令中使用的特殊元素的不正确中和（“命令注入”））：从 #25 到 #17

CWE-476（空指针取消引用）：从 #15 到 #11

最大的下行趋势是：

CWE-306（缺少关键功能的身份验证）：从 #11 到 #18

CWE-200（敏感信息暴露给未经授权）：从 #20 到 #33

CWE-522（凭据保护不足）：从 #21 到 #38

CWE-732（关键资源的权限分配不正确）：从 #22 到 #30

前 25 名中的新条目是：

CWE-362（使用不正确同步的共享资源并发执行（'竞争条件'））：从 #33 到 #22

CWE-94（代码生成控制不当（'代码注入'））：从 #28 到 #25

CWE-400（不受控制的资源消耗）：从 #27 到 #23

跌出前 25 名的参赛作品是：

CWE-200（将敏感信息暴露给未经授权的演员）：从 #20 到 #33

CWE-522（凭据保护不足）：从 #21 到 #38

CWE-732（关键资源的权限分配不正确）：从 #22 到 #30

以下是 2021 年和 2022 年前 25 名榜单差异的直观表示。

与过去几年一样，前 25 名继续向更具体的基础级别弱点过渡。虽然独特的类级弱点数量缓慢下降（从 2020 年的 9 个下降到 2022 年的 7 个），但用于生成列表的所有映射的百分比已从 2020 年的 30% 下降到今年的 16% . 复合和变体弱点的其他级。

虽然列表中仍然存在 7 个类级别的弱点，但它们在排名中明显下降，受重新映射任务中优先级的影响（请参阅重新映射任务）。随着社区改进其映射到更精确的弱点，预计这一运动将在未来几年继续。

今年的分析创造了职业和基础水平的混合弱点，在前 25 名中上下移动。这是意料之中的，因为其中一些职业通常以易于识别的关键字而闻名，例如“竞争条件”、“命令” CWE 计划的目标仍然是通过前 25 名中的基础级弱点类型迭代地提供更多特异性。可以观察到，每年都更接近该目标。该计划的目标是，这一趋势将使试图更好地理解和解决威胁当今系统的问题的用户受益，因为与更高级别的弱点相比，基本级别的弱点更具信息性并且有利于实际缓解。

2022 CWE Top 25 是通过从 NVD 获取和分析公共漏洞数据而开发的。对于 2022 年清单，数据使用了已知被利用漏洞 (KEV) 目录，该目录根据 CISA 于 2021 年 11 月颁布的“具有约束力的操作指令 22-01-降低已知被利用漏洞的重大风险”建立。KEV是权威的已知已在野外被利用的漏洞的来源。

在数据收集和重新映射过程之后，使用评分公式来计算弱点的排名顺序，该顺序将 CWE 是漏洞的根本原因的频率与通过 CVSS 衡量的每个漏洞利用的平均严重性相结合。在这两种情况下，频率和严重性都相对于看到的最小值和最大值进行了标准化。在下一节中，这些指标分别表示为“NVD 计数”和“平均 CVSS”。

有关 2022 年 Top 25 榜单计算的更具体和详细信息，请参阅详细方法。

具有评分指标的 CWE 前 25 名

因为所有弱点在适当的条件下都可能成为可利用的漏洞：

2022年重映射任务的重大变化

Top 25 团队对 2022 年的重映射任务进行了几项重大更改：

将来自 NVD 的 CVMAP 数据集成到映射分析中。NVD 的 CVMAP 计划允许 CVE 编号机构 (CNA) 在其权限范围内为 CVE 记录提交他们自己的 CWE 映射。排名前 25 位的分析师将这些映射集成为重新映射的附加数据点。如果没有足够的细节来进行更深入的分析，则选择 CNA 映射。这可能会减少映射到 NVD-CWE-noinfo 的 CVE 数量，并让我们深入了解 CNA 本身可能的映射错误。它还揭示了对某些弱点的过度使用，例如 CWE-20 和 CWE-200。

分析师可以在单个漏洞中表示 CWE 之间的链接关系。使用了一个简单的语法：X->Y 暗示弱点 X 触发了弱点 Y。支持更长的链，例如 X->Y->Z。在某些情况下，同一 CVE 记录中存在多个链。虽然链接表示并没有影响今年的评分，但它提供了有价值的见解和真实世界的示例，说明未来如何表示链以应对漏洞。前 25 名团队打算与包括 NIST 在内的相关方分享经验。

由于要分析的潜在 CVE 的数量很大，因此定义了一个流程来取消对过于复杂和耗时而无法分析的 CVE 的优先级。例如，CVE 可能与开源产品中的访问控制问题相关，错误报告包含数十条产品特定的评论，试图确定正确的策略，或者包含大量更改的大量差异报告，除了针对弱点的修复. 这些复杂的 CVE 被标记为“TODO”，后来由经验丰富的分析师解决，或者推迟到明年进行潜在的重新分析。

219 个 CVE 被标记为 TODO 但未解决，即它们极其复杂且耗时。在重新映射期接近尾声时，还对似乎不太可能以任何显著方式影响最终前 25 名结果的 CVE 应用了去优先级；例如，如果映射到 CWE-20，许多 CVE 将被取消优先级，因为 CWE-20 的等级在数学上不太可能改变；同样，CWE-787 在#1 上遥遥领先，许多相关的 CVE 也被取消了优先级。共有 1,013 个 CVE 根本没有重新映射或分析。这种去优先级使分析师能够专注于完成 CVE，从而为 NVD / CNA 分析师带来更大的好处（以提供有关可能的映射错误的反馈），以及分析接近前 25 名底部或接近尖端顶部的 CWE ，因为甚至可能发生排名的微小变化。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。许多相关的 CVE 也被取消了优先级。

共有 1,013 个 CVE 根本没有重新映射或分析。这种去优先级使分析师能够专注于完成 CVE，从而为 NVD / CNA 分析师带来更大的好处（以提供有关可能的映射错误的反馈），以及分析接近前 25 名底部或接近尖端顶部的 CWE ，因为甚至可能发生排名的微小变化。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。许多相关的 CVE 也被取消了优先级。共有 1,013 个 CVE 根本没有重新映射或分析。这种去优先级使分析师能够专注于完成 CVE，从而为 NVD / CNA 分析师带来更大的好处（以提供有关可能的映射错误的反馈），以及分析接近前 25 名底部或接近尖端顶部的 CWE ，因为甚至可能发生排名的微小变化。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。因为即使是小的等级变动也可能发生。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。因为即使是小的等级变动也可能发生。例如，CWE 团队有更多时间来分析密码学相关问题以及 CISA KEV 列表。