La organización de investigación en ciberseguridad sin fines de lucro con sede en EE.UU., MITRE, ha difundido su lista 2023 de las 25 vulnerabilidades de software más peligrosas. La elaboración de esta lista se ha llevado a cabo analizando datos públicos de vulnerabilidades subidas a la Base de Datos Nacional de Vulnerabilidades (NVD) para determinar las causas que dan origen a los incidentes registrados en la Enumeración Común de Debilidades (CWE) durante los dos años precedentes. Los atacantes podrían aprovechar estas debilidades para controlar, sustraer datos o interrumpir aplicaciones y sistemas.
Las tres amenazas dominantes en lo que va del año coinciden con las registradas el año pasado. Se trata de fallas de escritura fuera de límites (CWE-787), la neutralización inapropiada de la entrada durante la generación de páginas web o scripting entre sitios (XSS), e Inyección SQL. Las fallas de escritura fuera de límites suceden cuando un producto escribe datos más allá o antes del buffer designado, lo que puede provocar un fallo, corrupción o ejecución de código. Por otro lado, la vulnerabilidad XSS se puede presentar en tres formas: reflejada, almacenada y basada en DOM. La Inyección SQL, por su parte, puede ejecutar comandos si la consulta SQL está mal formada.
En cuarto y quinto lugar, se encuentran las fallas de “uso después de liberación de memoria” (CWE-416) y la “neutralización inapropiada de elementos especiales utilizados en un comando de SO” (CWE-78), conocida también como inyección de comandos del SO. La falla “uso después de liberar” ocurre al referenciar memoria después de que ha sido liberada, lo que podría ocasionar un fallo o ejecución de código inesperado. La inyección de comandos del SO permite la elaboración y ejecución de un comando del SO de una manera anormal, lo que puede dar lugar a una escalada de privilegios, lo cual, si se combina con otras explotaciones, podría permitir a un atacante ejecutar comandos en el sistema de una organización con privilegios perjudiciales.
En este ranking de vulnerabilidades, han escalado posiciones la autorización faltante (CWE-862), la gestión inapropiada de privilegios (CWE-269) y la autorización incorrecta (CWE-863), mientras que la deserialización de datos no confiables (CWE-502), el uso de credenciales codificadas (CWE-798) y los permisos predeterminados incorrectos (CWE-276) han descendido.
Este análisis de tendencias en los datos de vulnerabilidades ayuda a las organizaciones a tomar mejores decisiones de inversión y política en la gestión de vulnerabilidades. La lista sirve como una guía práctica para los profesionales del software en la mitigación de riesgos y es un referente útil para las empresas que buscan fortalecer sus entornos de CI/CD. A pesar de las herramientas de escaneo de vulnerabilidades disponibles, la lista subraya que los errores aún pueden infiltrarse incluso en los productos más utilizados.
