CWE-119 | La nueva vulnerabilidad más peligrosa del mundo

RedBirdRedBird 12/01/2019 08:18:00 p.m.

CWE-119 Restricción inadecuada de operaciones dentro de los límites de un búfer de memoria



Despues de 8 años, la lista de "Las 25 vulnerabilidades más peligrosas de Software" se ha actualizado, 

La nueva Vulnerabilidad - CWE-119

La nueva vulnerabilidad [ CWE-119 ] que ha tomado el primer puesto, el cual antes pertenecía a SQL INJECTION [ CWE-89 ]. Tiene por nombre "Restricción inadecuada de operaciones dentro de los limites de un búfer de memoria" es una de las 25 vulnerabilidades de software más peligrosas.

¿Que es esta vulnerabilidad?

El software realiza operaciones en un búfer de memoria, pero puede leer o escribir en una ubicación de memoria que está fuera del límite previsto del búfer.

Ciertos lenguajes permiten el direccionamiento directo de ubicaciones de memoria y no garantizan automáticamente que estas ubicaciones sean válidas para el búfer de memoria al que se hace referencia. Esto puede hacer que se realicen operaciones de lectura o escritura en ubicaciones de memoria que pueden estar asociadas con otras variables, estructuras de datos o datos internos del programa.

Como resultado, un atacante puede ejecutar código arbitrario, alterar el flujo de control previsto, leer información confidencial o hacer que el sistema se bloquee.

Algunos especialistas optan por dar el termino "Corrupción de Memoria", o un desbordamiento del bufer [ CWE-120 ].

Puede leer más sobre esta vulnerabilidad en [ https://cwe.mitre.org/data/definitions/119.html ]



Debilidades en el CWE 2019 | Top25 Vulnerabilidades de Software más Peligrosas [ Fuente CWE ]

  1.  Improper Restriction of Operations within the Bounds of a Memory Buffer - (119)
  2.  Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') - (79)
  3.  Improper Input Validation - (20)
  4.  Information Exposure - (200)
  5.  Out-of-bounds Read - (125)
  6.  Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') - (89)
  7.  Use After Free - (416)
  8.  Integer Overflow or Wraparound - (190)
  9.  Cross-Site Request Forgery (CSRF) - (352)
  10.  Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') - (22)
  11.  Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') - (78)
  12.  Out-of-bounds Write - (787)
  13.  Improper Authentication - (287)
  14.  NULL Pointer Dereference - (476)
  15.  Incorrect Permission Assignment for Critical Resource - (732)
  16.  Unrestricted Upload of File with Dangerous Type - (434)
  17.  Improper Restriction of XML External Entity Reference - (611)
  18.  Improper Control of Generation of Code ('Code Injection') - (94)
  19.  Use of Hard-coded Credentials - (798)
  20.  Uncontrolled Resource Consumption - (400)
  21.  Missing Release of Resource after Effective Lifetime - (772)
  22.  Untrusted Search Path - (426)
  23.  Deserialization of Untrusted Data - (502)
  24.  Improper Privilege Management - (269)
  25.  Improper Certificate Validation - (295)

Publicar un comentario

0 Comentarios

Slider Parnert

Subscribe Text

¿Quieres estar al día con noticias?

¡SUSCRIBETE AHORA!