Представленные «слабые стороны» программного обеспечения, как отмечается, охватывают огромный спектр проблем, включая ошибки, уязвимости и баги в коде, архитектуре, реализации или дизайне программных решений. Специалисты MITREотмечают, что эти «слабые места» могут подвергать рискам безопасность систем, на которых установлено и работает программное обеспечение. Они предоставляют точку входа для киберпреступников, которые стремятся получить контроль над другими устройствами, получить доступ к конфиденциальной информации и вызвать отказ в обслуживании.

Для составления этого списка специалисты MITRE оценивали каждую уязвимость в зависимости от ее серьезности и распространенности, проанализировав около 44 000 записей в Национальной базе данных уязвимостей (NVD) NIST. Эксперты исследовали уязвимости, которые были обнаружены и зарегистрированы в 2021-2022 годах. Особое внимание было уделено ошибкам, которые были добавлены в список известных эксплуатируемых уязвимостей американского Агентства по кибербезопасности и защите инфраструктуры (CISA).

Согласно MITRE, перечисленные ниже 25 уязвимостей представляют наибольшую опасность из-за их существенного влияния и широкого распространения в софте, выпущенном за последние два года:

1. CWE-787 (Out-of-bounds Write).
2. CWE-79 (Improper Neutralization of Input During Web Page Generation (‘Cross-site Scripting’).
3. CWE-89 (Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’).
4. CWE-416 (Use After Free).
5. CWE-78 (Improper Neutralization of Special Elements used in an OS Command (‘OS Command Injection’).
6. CWE-20 (Improper Input Validation).
7. CWE-125 (Out-of-bounds Read).
8. CWE-22 (Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’).
9. CWE-352 (Cross-Site Request Forgery (CSRF).
10. CWE-434 (Unrestricted Upload of File with Dangerous Type).
11. CWE-862 (Missing Authorization).
12. CWE-476 (NULL Pointer Dereference).
13. CWE-287 (Improper Authentication).
14. CWE-190 (Integer Overflow or Wraparound).
15. CWE-502 (Deserialization of Untrusted Data).
16. CWE-77 (Improper Neutralization of Special Elements used in a Command (‘Command Injection’).
17. CWE-119 (Improper Restriction of Operations within the Bounds of a Memory Buffer).
18. CWE-798 (Use of Hard-coded Credentials).
19. CWE-918 (Server-Side Request Forgery (SSRF).
20. CWE-306 (Missing Authentication for Critical Function).
21. CWE-362 (Concurrent Execution using Shared Resource with Improper Synchronization (‘Race Condition’).
22. CWE-269 (Improper Privilege Management).
23. CWE-94 (Improper Control of Generation of Code (‘Code Injection’).
24. CWE-863 (Incorrect Authorization).
25. CWE-276 (Incorrect Default Permissions).