Tout savoir sur les CWE

Les CWE (Common Weakness Enumeration), c'est un peu comme une encyclopédie des points faibles de nos logiciels. Chaque CWE est comme une fiche signalétique représentant un "type de vulnérabilité". Ces petits numéros de classification nous aident à mieux comprendre les faiblesses logicielles les plus courantes et à les traquer avant qu'elles ne se transforment en véritables cauchemars pour la sécurité de nos systèmes. Cette liste est mis à jour par le MITRE.

Le top 25 des CWE en 2022

Vous trouverez sur le site du MITRE le top 25 des CWE les plus dangereuses en 2022. On retrouve le nombre de CVE (2020 et 2021) par CWE.

CWE - 2022 CWE Top 25 Most Dangerous Software Weaknesses

Common Weakness Enumeration (CWE) is a list of software and hardware weaknesses.

MITRE

Il est également intéressant de voir les évolutions de la découverte de ces CWE au fil des années.

La CWE-787 continue d'occuper le top 1 du classement (62 CVE en 2022).

CWE-787: Out-of-bounds Write : The product writes data past the end, or before the beginning, of the intended buffer

Les principaux impacts sont : Modification de la mémoire ; DoS : Crash, exit du programme ou redémarrage ; Exécution de code ou de commandes non autorisés. Sympa ça 😄 ! En plus, le site du MITRE montre des exemples de codes pour mieux comprendre (ou pas) les vulnérabilités.

Je vous invite à regarder de temps en temps les CWE associés au CVE. Par exemple la CVE-2023-3519 est lié à la CWE-94 (Improper Control of Generation of Code ('Code Injection')).

J'espère que cet article vous permet de mieux comprendre les CWE et leurs significations. Pour continuer à renforcer votre expertise en cybersécurité, explorez nos autres articles passionnants sur le site. Bonne journée 😄