Como cada año, MITRE ha publicado la nueva lista con las 25 debilidades de
software más peligrosas. La lista anual
CWE Top 25
se compiló a partir de las debilidades (CWE) que se encuentran detrás de
39.080 CVE.
«Descubrir las causas raíz de estas vulnerabilidades sirve como una guía
eficaz para las inversiones, políticas y prácticas destinadas a prevenir su
ocurrencia, lo que beneficia tanto a la industria como a las partes
interesadas del gobierno», afirmó MITRE.
Encabezando la lista una vez más se situó el Cross-site Scripting (XSS),
mientras que la inyección SQL ascendió un puesto, situándose en segundo lugar,
y la falsificación de solicitudes entre sitios, un puesto, situándose en
tercer lugar. El uso después de la liberación (octavo puesto) y la inyección
de código (décimo) ascendieron un puesto con respecto al año pasado.
Entre las 10 principales, la escritura fuera de límites (quinto lugar), path
traversal (sexto), la lectura fuera de límites (octavo) y la inyección de
comandos del sistema operativo (noveno) descendieron en comparación con sus
clasificaciones del año pasado.
Las clasificaciones se calculan puntuando cada vulnerabilidad según su
gravedad y la frecuencia de las vulnerabilidades activas.
Este año, se incluyeron nuevas vulnerabilidades para el desbordamiento de
búfer clásico, el desbordamiento de búfer basado en pila, el desbordamiento de
búfer basado en montón, el control de acceso inadecuado, la omisión de
autorización mediante una clave controlada por el usuario y la asignación de
recursos sin límites ni limitación.
Sin embargo, Cory Michal, director de seguridad de AppOmni, argumentó que las
«credenciales con protección insuficiente» deberían haber figurado en el
Top 25″, dado lo peligroso que es el manejo de credenciales débiles.
«Cuando los principales proveedores de integración de SaaS como Commvault,
Salesloft/Drift y Gainsight sufren una vulneración y los atacantes se llevan
tokens OAuth2, esas ‘credenciales’ se convierten en una llave maestra para
miles de inquilinos SaaS posteriores», explicó.
Estamos observando que los adversarios utilizan esos tokens robados para
acceder a datos de CRM y colaboración sin siquiera tocar la contraseña de un
usuario, y preveo que este patrón, y por lo tanto el impacto real de
CWE-522, seguirá creciendo en 2026.
Dicho esto, la nueva lista destaca cómo los problemas de identidad,
autorización y control de acceso son ahora una prioridad para los equipos de
seguridad.
«Cuando debilidades como la falta de autenticación, el control de acceso
inadecuado y la omisión de autorización ascienden o entran en el Top 25, es
una señal de que los atacantes están logrando constantemente encontrar y
explotar brechas en la lógica de autenticación y autorización», afirmó Michal.
En el mundo actual de SaaS e IA, donde las aplicaciones están interconectadas
mediante API e integraciones, estas debilidades se transforman rápidamente en
movimiento lateral, exposición de datos y riesgo materializado.
Fuente:
Infosecurity Magazine