2024년 CWE의 가장 위험한 소프트웨어 취약점 25가지

CWE(Common Weakness Enumeration)

CVE(Common Vulnerabilities and Exposures)는 공개적으로 알려진 보안 위협(security threats)들의 목록으로 미국 정부의 지원을 받는 비영리 단체 MITRE Corporation에서 관리한다. 2025년 중반 기준으로 21,500개 이상의 CVE가 목록에 등록되어 있다. CWE(Common Weakness Enumeration)는 CVE 분석을 기반으로 발견된 소프트웨어 취약점(software    weaknesses) 목록이다. CWE 목록 전체에는 900개 이상의 다양한 소프트웨어 및 하드웨어 품질 및 보안 이슈가 포함되어 있다. 이 900개 이상의 항목은 “CWE Top 25”와 같은 더 유용한 목록으로 정리된다. Top 25 목록은 가장 발생 가능성이 높고 위험한 보안 취약점 순위를 나열한다.  

 

Rank	ID	Name
1	CWE-79	웹 페이지 생성 중 입력값의 부적절한 무효화('크로스 사이트 스크립팅')
2	CWE-787	경계 외 쓰기(Out-of-bounds Write)
3	CWE-89	SQL 명령에 사용된 특수 엘리먼트의 부적절한 무효화('SQL 인젝션')
4	CWE-352	크로스 사이트 요청 위조(Cross-Site Request Forgery)
5	CWE-22	경로명을 제한된 디렉터리로 부적절하게 제한('Path Traversal')
6	CWE-125	경계 외 읽기(Out-of-bounds Read)
7	CWE-78	OS 명령에 사용된 특수 엘리먼트의 부적절한 무효화('OS 명령 인젝션')
8	CWE-416	해제 후 사용(Use After Free)
9	CWE-862	Authorization 누락
10	CWE-434	위험한 타입의 파일 무제한 업로드
11	CWE-94	코드 생성 통제의 부적절('코드 인젝션')
12	CWE-20	입력 유효성 검사의 부적절
13	CWE-77	명령에 사용된 특수 엘리먼트의 부적절한 무효화('Command Injection')
14	CWE-287	부적절한 인증(Improper Authentication)
15	CWE-269	부적절한 권한 관리(Improper Privilege Management)
16	CWE-502	신뢰할 수 없는 데이터의 역직렬화(Deserialization of Untrusted Data)
17	CWE-200	권한이 없는 사용자에게 민감한 정보 노출
18	CWE-863	잘못된 권한 부여(Incorrect Authorization)
19	CWE-918	서버 측 요청 위조(Server-Side Request Forgery)
20	CWE-119	메모리 버퍼 경계 내 오퍼레이션의 부적절한 제한
21	CWE-476	NULL 포인터 역참조
22	CWE-798	하드코딩된 자격 증명 사용(Use of Hard-coded Credentials)
23	CWE-190	정수 오버플로 또는 랩어라운드(Integer Overflow or Wraparound)
24	CWE-400	통제되지 않는 리소스 소비
25	CWE-306	중요 기능에 대한 인증 누락

2024년 CWE 선정 가장 위험한 소프트웨어 취약점 25가지

 

CWE Top 25는 그 자체로 코딩 표준이 아니라 보안을 개선하기 위해 피해야 할 취약점 목록이다. CWE를 준수하기 위해서는, 프로젝트가 이러한 일반적인 취약점을 탐지하고 피하기 위해 합리적인 노력을 기울였음을 증명할 수 있어야 한다.