Connexion
Top 25 des faiblesses logicielles : le casse-tête méthodologique de MITRE
En fonction des autorités de numérotation CVE, les pratiques d’association de vulnérabilités à des faiblesses logicielles peuvent varier.
Le phénomène n’a en soi rien de nouveau. Cependant, avec l’augmentation du nombre d’autorités produisant de tels mappings, il a une influence de plus en plus importante sur des projets aval. Parmi eux, le Top 25 CWE de MITRE.
Dans l’édition 2025, fraîchement publiée, l’organisation américaine affirme à quel point il pourrait être « instructif » d’étudier les pratiques de ces autorités. D’autant plus au vu de ce qui a été constaté chez l’une des plus « prolifiques ». En l’occurrence, une tendance à associer des vulnérabilités (CVE) à la fois à des faiblesses logicielles (CWE) de bas niveau et de haut niveau, entraînant une surreprésentation de ces dernières. Par exemple, CWE-74 (neutralisation inadéquate d’éléments spéciaux dans une sortie utilisée par un composant aval), à la fois « parent » de CWE-89 (injection SQL), de CWE-79 (XSS), de CWE-78 (injection de commande système) et de CWE-94 (injection de code).
Première utilisation d’un LLM pour le Top 25 CWE
Pour cette édition, le dataset initial comprenait 39 080 CVE publiées entre le 1er juin 2024 et le 1er juin 2025.
MITRE a collecté des mappings réalisés par des autorités de numérotation ou ajoutés par la CISA après publication des CVE. Il a également tenu compte de mappings aval d’analystes de la NVD (National Vulnerability Database, rattachée au NIST).
Une analyse automatisée a permis d’identifier les mappings susceptibles d’être modifiés notamment parce que trop abstraits ou trop différents de mappings précédents contenant des mots-clés similaires.
Les mappings soumis à réévaluation concernaient 9468 CVE (24 % du total), publiées par 281 autorités.
Pour la première fois, MITRE a employé un LLM – ancré sur le corpus des CWE et entraîné sur des mappings – pour examiner ce sous-ensemble. Si ses suggestions n’ont pas toujours été suivies, il a « semblé déduire des associations potentielles que des analystes humains auraient probablement manquées faute de temps ou d’expertise ».
Sur ces 9468 CVE, 2459 ont effectivement fait l’objet d’un retour de la part des autorités de numérotation. Le reste a été soumis à une autre analyse. C’est là qu’a été découverte la pratique sus-évoquée.
Une normalisation qui rebat (un peu) les cartes
Quatre CWE auparavant jamais classées dans le Top 25 font leur entrée cette année. Elles sont repérables par la mention N/A dans le tableau ci-dessous. Il s’agit du dépassement de tampon « classique », du dépassement de pile, du dépassement de tas et du contrôle d’accès inadéquat.
Un changement dans la méthodologie y a contribué. Jusqu’alors, avant d’établir le classement (fondé sur la fréquence des CWE et sur la sévérité des CVE associées), les mappings étaient normalisés selon une nomenclature qu’utilise traditionnellement la NVD. Cette nomenclature se limite à 130 CWE. Les CVE qui ne peuvent pas être associées à une entrée sont, au possible, associées au plus proche parent (« ancêtre »). Sinon, on retire les mappings.
Pour la première fois, MITRE a utilisé les mappings tels quels, sans effectuer cette normalisation. Il en résulte, nous affirme-t-on, une image « plus fidèle ».
Ce choix a probablement aussi contribué à faire sortir plusieurs CWE du Top 25. On peut le penser, entre autres, pour CWE-269 (gestion inadéquate des privilèges), qui passe de la 15e à la 29e place. Sans normalisation, elle a 219 CVE associées. Avec, elle en aurait en 633. Il en est potentiellement allé de même pour CWE-400 (consommation de ressources non contrôlée ; passée de la 24e à la 32e place), CWE-798 (utilisation d’authentifiants codés en dur ; de 22e à 35e) et CWE-119 (restriction inadéquate d’opérations dans les limites d’un tampon mémoire ; de 20e à 39e).
Le top 25 des vulnérabilités logicielles en 2025
| Rang | Identifiant | Nature | Évolution 2024-2025 |
| 1 | CWE-79 | XSS (Cross-Site-Scripting ; neutralisation inadéquate d’entrée lors de la génération de page web) | = |
| 2 | CWE-89 | SQLi (Injection SQL ; neutralisation inadéquate d’éléments spéciaux utilisés dans une commande SQL) | + 1 |
| 3 | CWE-352 | CSRF (Client-Side Request Forgery ; une web ne vérifie pas suffisamment si une requête a été intentionnellement fournie par son auteur) | + 1 |
| 4 | CWE-862 | Autorisation manquante | + 5 |
| 5 | CWE-787 | Écriture hors limites | – 3 |
| 6 | CWE-22 | Traversée de répertoire (neutralisation inadéquate d’éléments spéciaux dans un chemin d’accès, menant vers un emplacement non autorisé) | – 1 |
| 7 | CWE-416 | UAF (Use After Free ; réutilisation d’une zone mémoire après sa libération) | + 1 |
| 8 | CWE-125 | Lecture hors limites | – 2 |
| 9 | CWE-78 | Injection de commande système | – 2 |
| 10 | CWE-94 | Injection de code | + 1 |
| 11 | CWE-120 | Dépassement de tampon « classique » (copie d’un tampon d’entrée vers un tampon de sortie sans vérifier que la taille du premier ne dépasse pas celle du second) | N/A |
| 12 | CWE-434 | Téléversement non restreint de fichiers dangereux | – 2 |
| 13 | CWE-476 | Déréférencement de pointeur NULL | + 8 |
| 14 | CWE-121 | Dépassement de pile | N/A |
| 15 | CWE-502 | Désérialisation de données non fiables | + 1 |
| 16 | CWE-122 | Dépassement de tas | N/A |
| 17 | CWE-863 | Autorisation incorrecte | + 1 |
| 18 | CWE-20 | Validation inadéquate d’entrée | – 6 |
| 19 | CWE-284 | Contrôle d’accès inadéquat | N/A |
| 20 | CWE-200 | Exposition de données sensibles à un acteur non autorisé | – 3 |
| 21 | CWE-306 | Authentification manquante pour une fonction critique | + 4 |
| 22 | CWE-918 | SSRF (Server-Side Request Forgery ; le serveur web ne vérifie pas suffisamment que la requête est envoyée à la destination attendue) | – 3 |
| 23 | CWE-77 | Injection de commande | – 10 |
| 24 | CWE-639 | Contournement d’autorisation via une clé contrôlée par l’utilisateur | + 6 |
| 25 | CWE-770 | Allocation de ressources sans limites ou plafonnement | + 1 |
L’an dernier, la méthodologie avait déjà évolué. Pour limiter les mappings abusifs, MITRE avait donné davantage de poids aux autorités de numérotation pour les réviser. Peu avaient toutefois répondu à la sollicitation, d’où une progression potentielle, voire une entrée, dans le Top 25, de CWE de haut niveau.
Illustration © Quardia Inc. – Adobe Stock
The post Top 25 des faiblesses logicielles : le casse-tête méthodologique de MITRE appeared first on Silicon.fr.
