Como cada año, MITRE ha lanzado su nueva lista de las 25 debilidades de software más críticas. La relación anual CWE Top 25 se ha elaborado a partir de las debilidades (CWE) que subyacen en 39,080 CVE.

«Identificar las causas fundamentales de estas vulnerabilidades es una guía valiosa para dirigir inversiones, políticas y prácticas que prevengan su aparición, beneficiando tanto a la industria como a los organismos gubernamentales«, afirmó MITRE.

De nuevo, el Cross-site Scripting (XSS) encabeza la lista, seguido por la inyección SQL, que subió un puesto al segundo lugar, y la falsificación de solicitudes entre sitios, que ocupó el tercer lugar. Entre los ascensos del año pasado también están el uso posterior a la liberación (octavo lugar) y la inyección de código (décimo).

En esta lista, la escritura fuera de límites (quinto), el path traversal (sexto), la lectura fuera de límites (octavo) y la inyección de comandos del sistema operativo (noveno) han descendido en comparación con el año anterior.

Las posiciones se determinan puntuando cada vulnerabilidad según su gravedad y la frecuencia de las vulnerabilidades activas.

Este año se han añadido nuevas vulnerabilidades, como desbordamiento de búfer clásico, desbordamiento de búfer basado en pila y montón, control de acceso inadecuado, omisión de autorización por clave controlada por el usuario, y la asignación de recursos sin límites.

No obstante, Cory Michal, director de seguridad de AppOmni, sostiene que las «credenciales con protección insuficiente» deberían estar en el Top 25, dado lo peligroso que es manejar credenciales débiles. «Cuando grandes proveedores de SaaS como Commvault, Salesloft/Drift y Gainsight enfrentan una brecha de seguridad y los atacantes obtienen tokens OAuth2, esas ‘credenciales’ se convierten en una llave maestra para miles de inquilinos SaaS«, explicó.

Estamos viendo cómo los adversarios utilizan esos tokens robados para acceder a datos de CRM y colaboración sin necesidad de conocer la contraseña de un usuario; prevemos que este patrón, y el impacto real de CWE-522, seguirá en aumento en 2026.

La nueva lista resalta que los problemas de identidad, autorización y control de acceso son ahora prioritarios para los equipos de seguridad. «Cuando fallos como la falta de autenticación, el control de acceso inadecuado y la omisión de autorización ascienden al Top 25, es una señal de que los atacantes están constantemente buscando y explotando brechas en la lógica de autenticación y autorización«, afirmó Michal.

En la actualidad, en un entorno de SaaS e IA, donde las aplicaciones están interconectadas mediante API e integraciones, estas debilidades pueden traducirse rápidamente en movimientos laterales, exposición de datos y riesgos concretos.

Fuente:
Infosecurity Magazine


Con Información de blog.segu-info.com.ar