Il Common Weakness Enumeration (CWE) è un’iniziativa comunitaria sviluppata per categorizzare e identificare le debolezze del software. La sua importanza risiede nel fornire un linguaggio comune per descrivere i problemi di sicurezza del software, facilitando così la comunicazione tra sviluppatori, esperti di sicurezza e manager.
Il CWE Top 25, pubblicato annualmente dal MITRE, rappresenta le vulnerabilità software più comuni e pericolose. Questo elenco è una risorsa cruciale per aiutare le organizzazioni a comprendere quali debolezze devono essere prioritarie per migliorare la loro postura di sicurezza.
Metodologia
Il CWE Top 25 Most Dangerous Software Weaknesses – 2024 è stato calcolato analizzando le informazioni sulle vulnerabilità pubbliche presenti nei Common Vulnerabilities and Exposures (CVE) Records per identificare le cause radice del CWE. Questo nuovo approccio e metodo di valutazione hanno portato a modifiche significative nella classificazione della top 25.
Il dataset di quest’anno ha incluso 31.770 CVE Records per vulnerabilità pubblicate tra il 1º giugno 2023 e il 1º giugno 2024.
Nel 2023 sono stati utilizzati 43.996 CVE Records, con le vulnerabilità risalenti agli anni 2021 e 2022. Pertanto, la classificazione di quest’anno risulta essere più coerente con i dati effettivi, grazie all’adozione di un nuovo sistema di categorizzazione e all’utilizzo delle versioni CVSS 3.0 e 3.1 come base per calcolare i valori medi del CVSS assegnato alle varie tipologie di CWE.
Il sistema adottato dal MITRE ha imposto le seguenti condizioni:
- Le debolezze raramente scoperte non riceveranno un punteggio alto in Frequenza, indipendentemente dalle conseguenze tipiche associate a qualsiasi sfruttamento. Se gli sviluppatori non commettono spesso un particolare errore.
- Le debolezze il cui sfruttamento ha un impatto basso non riceveranno un punteggio alto in Gravità, indipendentemente dalla loro frequenza nel dataset.
- Le debolezze che sono sia comuni che causano danni significativi riceveranno i punteggi più alti, enfatizzando la loro importanza.
In questo modo è stato possibile escludere dalla lista tutte le vulnerabilità poco diffuse e/o poco impattanti e quindi non pertinenti con l’effettivo scopo della classifica.
CWE Top 25
Rank 2024 | Rank 2023 | CWE | Nome |
---|---|---|---|
1 | 2 | CWE-79 | Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
2 | 1 | CWE-787 | Out-of-bounds Write |
3 | 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') |
4 | 9 | CWE-352 | Cross-Site Request Forgery (CSRF) |
5 | 8 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') |
6 | 7 | CWE-125 | Out-of-bounds Read |
7 | 5 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') |
8 | 4 | CWE-416 | Use After Free |
9 | 11 | CWE-862 | Missing Authorization |
10 | 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type |
11 | 23 | CWE-94 | Improper Control of Generation of Code ('Code Injection') |
12 | 6 | CWE-20 | Improper Input Validation |
13 | 16 | CWE-77 | Improper Neutralization of Special Elements used in a Command ('Command Injection') |
14 | 13 | CWE-287 | Improper Authentication |
15 | 22 | CWE-269 | Improper Privilege Management |
16 | 15 | CWE-502 | Deserialization of Untrusted Data |
17 | 30 | CWE-200 | Exposure of Sensitive Information to an Unauthorized Actor |
18 | 24 | CWE-863 | Incorrect Authorization |
19 | 19 | CWE-918 | Server-Side Request Forgery (SSRF) |
20 | 17 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer |
21 | 12 | CWE-476 | NULL Pointer Dereference |
22 | 18 | CWE-798 | Use of Hard-coded Credentials |
23 | 14 | CWE-190 | Integer Overflow or Wraparound |
24 | 37 | CWE-400 | Uncontrolled Resource Consumption |
25 | 20 | CWE-306 | Missing Authentication for Critical Function |
Analisi
L’introduzione di una nuova metodologia per il 2024 CWE Top 25 ha portato a numerosi cambiamenti nei posizionamenti rispetto alla lista dell’anno scorso. Infatti, solo tre debolezze hanno mantenuto la stessa posizione dell’anno scorso:
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’) al #3
- CWE-434: Unrestricted Upload of File with Dangerous Type al #10
- CWE-918: Server-Side Request Forgery (SSRF) al #19
I movimenti più significativi verso l’alto nella lista sono:
- CWE-352: Cross-Site Request Forgery (CSRF), dal #9 al #4
- CWE-94: Improper Control of Generation of Code (‘Code Injection’), dal #23 al #11
- CWE-269: Improper Privilege Management, dal #22 al #15
- CWE-863: Incorrect Authorization, dal #24 al #18
I movimenti più significativi verso il basso sono:
- CWE-20: Improper Input Validation, dal #6 al #12
- CWE-476: NULL Pointer Dereference, dal #12 al #21
- CWE-190: Integer Overflow or Wraparound, dal #14 al #23
- CWE-306: Missing Authentication for Critical Function, dal #20 al #25
Le nuove entrate nella Top 25 sono:
- CWE-400: Uncontrolled Resource Consumption, dal #37 al #24
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor, dal #30 al #17
Le voci che sono uscite dalla Top 25 sono:
- CWE-362: Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’), dal #21 al #34
- CWE-276: Incorrect Default Permissions, dal #25 al #36
Questa sezione evidenzia chiaramente i principali cambiamenti rispetto all’anno scorso, fornendo una panoramica delle tendenze emergenti e delle vulnerabilità che stanno guadagnando o perdendo rilevanza.
Sintesi CWEs della Top 25
Una vulnerabilità di tipo Cross-Site Scripting (XSS), classificata come CWE-79, si verifica quando un’applicazione web non neutralizza correttamente l’input dell’utente prima di includerlo nella pagina web generata. Questo permette agli attaccanti di iniettare e eseguire codice HTML e script arbitrari nel browser dell’utente, nel contesto del sito vulnerabile.
Tale vulnerabilità può portare ai seguenti impatti:
- Furto di cookie: Gli attaccanti possono rubare i cookie degli utenti, ottenendo accesso alle loro sessioni.
- Defacement della pagina: Gli attaccanti possono modificare il contenuto della pagina web.
- Phishing: Gli attaccanti possono creare richieste che sembrano legittime, ingannando gli utenti.
- Esecuzione di codice maligno: Gli attaccanti possono eseguire codice dannoso sul sistema dell’utente.
Una vulnerabilità di tipo Out-of-bounds Write (Scrittura fuori dai limiti), classificata come CWE-787, si verifica quando un programma scrive dati oltre i confini di un buffer destinato. Questa vulnerabilità può consentire agli attaccanti di corrompere i dati, alterare il flusso di esecuzione del programma, o causare crash del sistema.
Tale vulnerabilità può portare ai seguenti impatti:
- Corruzione dei dati: I dati critici possono essere sovrascritti, portando a comportamenti imprevisti del software.
- Esecuzione arbitraria di codice: Gli attaccanti possono iniettare e eseguire codice malevolo nel contesto dell’applicazione vulnerabile.
- Crash del sistema: La scrittura fuori dai limiti può causare crash dell’applicazione, provocando interruzioni del servizio.
Una vulnerabilità di tipo SQL Injection (SQLi), classificata come CWE-89, che si verifica quando un’applicazione non neutralizza correttamente gli elementi speciali utilizzati in un comando SQL. Questo permette agli attaccanti di manipolare le query SQL eseguite dal database dell’applicazione, ottenendo accesso non autorizzato ai dati.
Tale vulnerabilità può portare ai seguenti impatti:
- Accesso non autorizzato ai dati: Gli attaccanti possono visualizzare, modificare o eliminare i dati del database.
- Esfiltrazione di dati sensibili: Gli attaccanti possono rubare informazioni sensibili come credenziali degli utenti, dati finanziari e personali.
- Modifica dei dati: Gli attaccanti possono alterare i dati del database, compromettendo l’integrità dell’applicazione.
- Esecuzione di comandi sul server: In alcuni casi, gli attaccanti possono eseguire comandi di sistema sul server del database.
Una vulnerabilità di tipo Cross-Site Request Forgery (CSRF), classificata come CWE-352, si verifica quando un attaccante induce un utente autenticato a eseguire azioni indesiderate su un’applicazione web in cui è autenticato. Questa vulnerabilità sfrutta la fiducia che un’applicazione ripone nei cookie e nei token di autenticazione dell’utente.
Tale vulnerabilità può portare ai seguenti impatti:
- Modifica dei dati: Gli attaccanti possono alterare i dati dell’utente, come cambiare le impostazioni del profilo o inviare denaro.
- Azioni non autorizzate: Gli attaccanti possono eseguire azioni non autorizzate come l’eliminazione di file o la modifica delle configurazioni.
- Compromissione dell’account: Se l’attacco viene eseguito con successo, l’attaccante può ottenere accesso persistente all’account dell’utente.
Una vulnerabilità di tipo Path Traversal, classificata come CWE-22, si verifica quando un’applicazione permette agli utenti di accedere a directory o file non autorizzati. Questa vulnerabilità si presenta quando l’applicazione non valida correttamente i percorsi dei file forniti dagli utenti, permettendo così agli attaccanti di attraversare la struttura delle directory del file system.
Tale vulnerabilità può portare ai seguenti impatti:
- Esposizione di file sensibili: Gli attaccanti possono accedere a file di configurazione, dati degli utenti o altri file riservati.
- Compromissione del sistema: Accesso a file critici del sistema operativo che possono portare alla compromissione totale del server.
- Modifica dei file: Gli attaccanti possono alterare file dell’applicazione, inserendo codice malevolo o modificando la configurazione.
Una vulnerabilità di tipo Out-of-bounds Read, classificata come CWE-125, si verifica quando un programma legge dati al di fuori dei limiti del buffer destinato. Questo può portare alla lettura di dati non previsti, inclusi dati sensibili o privilegiati, e può causare crash del programma o comportamenti imprevisti.
Tale vulnerabilità può portare ai seguenti impatti:
- Corruzione dei dati: I dati critici possono essere sovrascritti, portando a comportamenti imprevisti del software.
- Esecuzione arbitraria di codice: Gli attaccanti possono iniettare e eseguire codice malevolo nel contesto dell’applicazione vulnerabile.
- Crash del sistema: La scrittura fuori dai limiti può causare crash dell’applicazione, provocando interruzioni del servizio.
Una vulnerabilità di tipo OS Command Injection, classificata come CWE-78, si verifica quando un’applicazione non neutralizza correttamente gli elementi speciali utilizzati in un comando del sistema operativo. Questo può permettere a un attaccante di iniettare comandi OS arbitrari che vengono eseguiti con i privilegi dell’applicazione vulnerabile.
Tale vulnerabilità può portare ai seguenti impatti:
- Esecuzione di comandi arbitrari: Gli attaccanti possono eseguire comandi del sistema operativo, potenzialmente compromettendo l’intero sistema.
- Esfiltrazione di dati sensibili: Gli attaccanti possono accedere e rubare dati sensibili presenti nel sistema.
- Compromissione del sistema: Gli attaccanti possono installare malware, creare backdoor o modificare configurazioni critiche.
- Escalation di privilegi: Eseguendo comandi con i privilegi dell’applicazione vulnerabile, gli attaccanti possono ottenere l’accesso completo al sistema.
Una vulnerabilità di tipo Use After Free, classificata come CWE-416, si verifica quando un programma continua a utilizzare una porzione di memoria dopo che questa è stata liberata (freed). Questo può portare a comportamenti imprevisti, inclusi crash del programma, esecuzione di codice arbitrario e corruzione dei dati.
Tale vulnerabilità può portare ai seguenti impatti:
- Esecuzione arbitraria di codice: Gli attaccanti possono sfruttare questa vulnerabilità per eseguire codice malevolo nel contesto dell’applicazione vulnerabile.
- Corruzione dei dati: L’uso della memoria liberata può portare alla corruzione dei dati, influenzando l’integrità del programma.
- Crash del sistema: L’utilizzo di memoria non valida può causare crash del programma, compromettendo la disponibilità del servizio.
- Compromissione della sicurezza: Gli attaccanti possono ottenere accesso a informazioni sensibili o elevare i propri privilegi all’interno del sistema.
Una vulnerabilità di tipo Missing Authorization, classificata come CWE-862, si verifica quando un’applicazione non verifica adeguatamente l’autorizzazione di un utente per accedere a una risorsa o eseguire un’azione. Questo può permettere agli utenti non autorizzati di accedere a funzionalità o dati riservati, compromettendo la sicurezza del sistema.
Tale vulnerabilità può portare ai seguenti impatti:
- Accesso non autorizzato a dati sensibili: Gli attaccanti possono visualizzare, modificare o eliminare dati riservati.
- Compromissione delle funzionalità: Gli utenti non autorizzati possono eseguire azioni critiche, come modificare impostazioni di sistema o eseguire operazioni di amministrazione.
- Violazione della privacy: I dati personali e sensibili degli utenti possono essere esposti a individui non autorizzati.
- Danneggiamento della fiducia: La scoperta di una tale vulnerabilità può danneggiare la reputazione dell’organizzazione e ridurre la fiducia degli utenti nei suoi servizi.
Una vulnerabilità di tipo Unrestricted Upload of File with Dangerous Type, classificata come CWE-434, si verifica quando un’applicazione consente agli utenti di caricare file senza restrizioni sul tipo di file. Questo può permettere agli attaccanti di caricare file malevoli che possono essere eseguiti sul server, compromettendo la sicurezza del sistema.
Tale vulnerabilità può portare ai seguenti impatti:
- Esecuzione di codice malevolo: Gli attaccanti possono caricare ed eseguire file con codice malevolo, compromettendo il sistema.
- Accesso non autorizzato: I file pericolosi possono essere utilizzati per ottenere accesso non autorizzato a dati o funzionalità del sistema.
- Interruzione del servizio: File dannosi possono causare crash del server o interruzioni del servizio.
- Defacement del sito web: Gli attaccanti possono caricare file che modificano il contenuto del sito web, alterando la presentazione o inserendo contenuti malevoli.
Una vulnerabilità di tipo Code Injection, classificata come CWE-94, si verifica quando un’applicazione non controlla adeguatamente la generazione di codice. Questo può permettere agli attaccanti di iniettare codice arbitrario che viene poi eseguito dall’applicazione vulnerabile.
Tale vulnerabilità può portare ai seguenti impatti:
- Esecuzione di codice arbitrario: Gli attaccanti possono iniettare ed eseguire codice malevolo, compromettendo l’integrità e la sicurezza del sistema.
- Accesso non autorizzato: Gli attaccanti possono ottenere accesso non autorizzato a dati sensibili o funzionalità del sistema.
- Compromissione del sistema: L’iniezione di codice malevolo può alterare il comportamento dell’applicazione, portando a crash o comportamento imprevedibile.
- Violazione della sicurezza: Gli attaccanti possono sfruttare questa vulnerabilità per installare malware, creare backdoor o esfiltrare dati sensibili.
Una vulnerabilità di tipo Improper Input Validation, classificata come CWE-20, si verifica quando un’applicazione non valida adeguatamente gli input forniti dall’utente. Questo può permettere agli attaccanti di fornire input malevolo che bypassa le aspettative del programma, portando a comportamenti imprevisti o dannosi.
Tale vulnerabilità può portare ai seguenti impatti:
- Esecuzione di codice arbitrario: Gli attaccanti possono fornire input appositamente costruiti per eseguire codice malevolo.
- Corruzione dei dati: Input non validato può alterare o corrompere dati critici del sistema.
- Accesso non autorizzato: Gli attaccanti possono sfruttare input non validato per ottenere accesso non autorizzato a dati o funzionalità del sistema.
- Crash del sistema: Input malevolo può causare crash dell’applicazione, compromettendo la disponibilità del servizio.
Una vulnerabilità di tipo Improper Neutralization of Special Elements used in a Command, classificata come CWE-77, si verifica quando un’applicazione non neutralizza correttamente gli elementi speciali utilizzati in un comando. Questo può permettere a un attaccante di iniettare comandi arbitrari che vengono eseguiti con i privilegi dell’applicazione vulnerabile.
Tale vulnerabilità può portare ai seguenti impatti:
- Esecuzione di comandi arbitrari: Gli attaccanti possono eseguire comandi del sistema, potenzialmente compromettendo l’intero sistema.
- Esfiltrazione di dati sensibili: Gli attaccanti possono accedere e rubare dati sensibili presenti nel sistema.
- Compromissione del sistema: Gli attaccanti possono installare malware, creare backdoor o modificare configurazioni critiche.
- Escalation di privilegi: Eseguendo comandi con i privilegi dell’applicazione vulnerabile, gli attaccanti possono ottenere l’accesso completo al sistema.
Una vulnerabilità di tipo Improper Authentication, classificata come CWE-287, si verifica quando un sistema non verifica adeguatamente l’identità di un utente o entità prima di concedere l’accesso a funzionalità o dati. Questo può permettere a utenti non autorizzati di accedere a risorse protette e compromettere la sicurezza del sistema.
Tale vulnerabilità può portare ai seguenti impatti:
- Accesso non autorizzato: Gli attaccanti possono ottenere accesso a dati o funzionalità riservate senza autenticazione adeguata.
- Violazione della privacy: Dati personali e sensibili degli utenti possono essere esposti a individui non autorizzati.
- Compromissione delle risorse: Gli attaccanti possono utilizzare risorse del sistema, compromettere la loro integrità e disponibilità.
- Danneggiamento della fiducia: La scoperta di una tale vulnerabilità può danneggiare la reputazione dell’organizzazione e ridurre la fiducia degli utenti nei suoi servizi.
Una vulnerabilità di tipo Improper Privilege Management, classificata come CWE-269, si verifica quando un’applicazione non gestisce correttamente i privilegi degli utenti, permettendo loro di eseguire operazioni per le quali non sono autorizzati. Questo può portare a vari livelli di accesso non autorizzato e compromettere la sicurezza del sistema.
Tale vulnerabilità può portare ai seguenti impatti:
- Accesso non autorizzato: Gli utenti possono ottenere accesso a funzionalità e dati che non dovrebbero essere accessibili, compromettendo la sicurezza.
- Escalation di privilegi: Gli utenti con privilegi limitati possono acquisire privilegi elevati, eseguendo operazioni sensibili o critiche.
- Violazione della privacy: Dati sensibili e personali degli utenti possono essere esposti a individui non autorizzati.
- Compromissione della sicurezza: L’intero sistema può essere compromesso se gli attaccanti ottengono accesso a funzionalità amministrative o di sistema.
Una vulnerabilità di tipo Deserialization of Untrusted Data, classificata come CWE-502, si verifica quando un’applicazione deserializza dati non affidabili senza verificare che tali dati siano sicuri. Questo può permettere agli attaccanti di eseguire codice arbitrario, manipolare la logica del programma o provocare crash.
Tale vulnerabilità può portare ai seguenti impatti:
- Esecuzione di codice arbitrario: Gli attaccanti possono iniettare ed eseguire codice malevolo durante il processo di deserializzazione.
- Corruzione dei dati: Dati critici possono essere manipolati o corrotti.
- Accesso non autorizzato: Gli attaccanti possono ottenere accesso non autorizzato a dati sensibili o funzionalità del sistema.
- Crash del sistema: La deserializzazione di dati non affidabili può causare crash del programma, compromettendo la disponibilità del servizio.
Una vulnerabilità di tipo Exposure of Sensitive Information to an Unauthorized Actor, classificata come CWE-200, si verifica quando un’applicazione espone informazioni sensibili a utenti non autorizzati. Questo può includere dati personali, credenziali di accesso, informazioni finanziarie e altri dati riservati.
Tale vulnerabilità può portare ai seguenti impatti:
- Violazione della privacy: Dati personali e sensibili degli utenti possono essere esposti a individui non autorizzati.
- Furto d’identità: Le informazioni esposte possono essere utilizzate per commettere furto d’identità o frodi.
- Compromissione della sicurezza: Gli attaccanti possono utilizzare le informazioni esposte per pianificare ulteriori attacchi contro il sistema o gli utenti.
- Danneggiamento della fiducia: La scoperta di una tale vulnerabilità può danneggiare la reputazione dell’organizzazione e ridurre la fiducia degli utenti nei suoi servizi.
Una vulnerabilità di tipo Incorrect Authorization, classificata come CWE-863, si verifica quando un’applicazione non implementa correttamente i controlli di autorizzazione, permettendo agli utenti di accedere a risorse o eseguire azioni senza la dovuta autorizzazione. Questo può compromettere la sicurezza e l’integrità del sistema.
Tale vulnerabilità può portare ai seguenti impatti:
- Accesso non autorizzato a dati sensibili: Gli attaccanti possono visualizzare, modificare o eliminare dati riservati.
- Compromissione delle funzionalità: Gli utenti non autorizzati possono eseguire azioni critiche, come modificare impostazioni di sistema o eseguire operazioni di amministrazione.
- Violazione della privacy: I dati personali e sensibili degli utenti possono essere esposti a individui non autorizzati.
- Danneggiamento della fiducia: La scoperta di una tale vulnerabilità può danneggiare la reputazione dell’organizzazione e ridurre la fiducia degli utenti nei suoi servizi.
Una vulnerabilità di tipo Server-Side Request Forgery (SSRF), classificata come CWE-918, si verifica quando un attaccante induce il server a effettuare richieste HTTP a un dominio arbitrario scelto dall’attaccante. Questo può permettere agli attaccanti di ottenere accesso a risorse interne, portando a esfiltrazione di dati o compromissione del sistema.
Tale vulnerabilità può portare ai seguenti impatti:
- Accesso a risorse interne: Gli attaccanti possono accedere a servizi e risorse interne della rete che non sono normalmente esposti all’esterno.
- Esfiltrazione di dati sensibili: Gli attaccanti possono ottenere informazioni sensibili da altri server interni o servizi.
- Compromissione del sistema: Le richieste possono essere utilizzate per attaccare altri sistemi interni, sfruttando ulteriori vulnerabilità.
- Bypass dei controlli di sicurezza: Gli attaccanti possono aggirare i controlli di accesso e sicurezza implementati per proteggere le risorse interne.
Una vulnerabilità di tipo Improper Restriction of Operations within the Bounds of a Memory Buffer, classificata come CWE-119, si verifica quando un programma non riesce a limitare correttamente le operazioni entro i confini di un buffer di memoria. Questo può portare a letture o scritture al di fuori dei limiti previsti, con conseguente corruzione dei dati, esecuzione di codice arbitrario o crash del programma.
Tale vulnerabilità può portare ai seguenti impatti:
- Corruzione dei dati: I dati critici possono essere sovrascritti, portando a comportamenti imprevisti del software.
- Esecuzione arbitraria di codice: Gli attaccanti possono iniettare e eseguire codice malevolo nel contesto dell’applicazione vulnerabile.
- Crash del sistema: La scrittura fuori dai limiti può causare crash dell’applicazione, provocando interruzioni del servizio.
Una vulnerabilità di tipo NULL Pointer Dereference, classificata come CWE-476, si verifica quando un programma tenta di dereferenziare un puntatore che è stato inizializzato a NULL. Questo può causare crash del programma, comportamenti imprevisti o, in alcuni casi, esecuzione di codice arbitrario.
Tale vulnerabilità può portare ai seguenti impatti:
- Crash del sistema: La dereferenziazione di un puntatore NULL può causare il crash del programma, compromettendo la disponibilità del servizio.
- Comportamenti imprevisti: L’applicazione può eseguire operazioni non previste, portando a risultati errati o instabili.
- Esecuzione arbitraria di codice: In circostanze particolari, gli attaccanti possono sfruttare questa vulnerabilità per eseguire codice malevolo nel contesto dell’applicazione vulnerabile.
- Corruzione della memoria: La manipolazione inappropriata dei puntatori può portare alla corruzione dei dati memorizzati, compromettendo l’integrità del programma.
Una vulnerabilità di tipo Use of Hard-coded Credentials, classificata come CWE-798, si verifica quando un’applicazione utilizza credenziali codificate nel codice sorgente. Questo può permettere agli attaccanti di ottenere accesso non autorizzato al sistema utilizzando queste credenziali predefinite e non modificate.
Tale vulnerabilità può portare ai seguenti impatti:
- Accesso non autorizzato: Gli attaccanti possono utilizzare le credenziali hard-coded per accedere a dati e funzionalità riservate senza autorizzazione.
- Compromissione della sicurezza: L’accesso ottenuto tramite credenziali hard-coded può portare alla compromissione completa del sistema.
- Violazione della privacy: Dati personali e sensibili degli utenti possono essere esposti a individui non autorizzati.
- Danneggiamento della fiducia: La scoperta di una tale vulnerabilità può danneggiare la reputazione dell’organizzazione e ridurre la fiducia degli utenti nei suoi servizi.
Una vulnerabilità di tipo Integer Overflow or Wraparound, classificata come CWE-190, si verifica quando un’operazione aritmetica su un valore intero produce un risultato che eccede la capacità del tipo di dato previsto. Questo può portare a comportamenti imprevisti, crash del sistema o esecuzione di codice arbitrario.
Tale vulnerabilità può portare ai seguenti impatti:
- Corruzione dei dati: Valori non validi possono alterare i dati critici, influenzando l’integrità del sistema.
- Esecuzione arbitraria di codice: Gli attaccanti possono sfruttare questa vulnerabilità per eseguire codice malevolo nel contesto dell’applicazione vulnerabile.
- Crash del sistema: La manipolazione degli interi può causare il crash del programma, compromettendo la disponibilità del servizio.
- Compromissione della sicurezza: Gli attaccanti possono utilizzare i risultati errati delle operazioni aritmetiche per bypassare i controlli di sicurezza e ottenere accesso non autorizzato.
Una vulnerabilità di tipo Uncontrolled Resource Consumption, classificata come CWE-400, si verifica quando un’applicazione consuma risorse in modo incontrollato. Questo può portare all’esaurimento delle risorse di sistema come CPU, memoria, disco, o connessioni di rete, causando una degradazione delle prestazioni o un’interruzione completa del servizio.
Tale vulnerabilità può portare ai seguenti impatti:
- Degradazione delle prestazioni: L’eccessivo consumo di risorse può rallentare significativamente le prestazioni del sistema, rendendo l’applicazione lenta o inutilizzabile.
- Crash del sistema: L’esaurimento delle risorse può causare crash del sistema o dell’applicazione, compromettendo la disponibilità del servizio.
- Interruzione del servizio: Il sistema può diventare non rispondente o inaccessibile, causando interruzioni nel servizio offerto agli utenti.
- Possibilità di attacchi denial-of-service (DoS): Gli attaccanti possono sfruttare questa vulnerabilità per lanciare attacchi DoS, esaurendo intenzionalmente le risorse di sistema per interrompere il servizio.
Una vulnerabilità di tipo Missing Authentication for Critical Function, classificata come CWE-306, si verifica quando un’applicazione non richiede autenticazione per accedere a una funzione critica. Questo può permettere agli attaccanti di sfruttare la funzione senza dover fornire credenziali valide, compromettendo la sicurezza del sistema.
Tale vulnerabilità può portare ai seguenti impatti:
- Accesso non autorizzato: Gli attaccanti possono accedere a funzioni critiche senza autenticazione, eseguendo operazioni non autorizzate.
- Violazione della privacy: Dati personali e sensibili degli utenti possono essere esposti a individui non autorizzati.
- Compromissione della sicurezza: Gli attaccanti possono modificare configurazioni, eseguire operazioni di amministrazione o rubare informazioni sensibili.
- Danneggiamento della fiducia: La scoperta di una tale vulnerabilità può danneggiare la reputazione dell’organizzazione e ridurre la fiducia degli utenti nei suoi servizi.