В список вошли недостатки ПО, которые ставят под угрозу безопасность информационных систем, на которых установлен данный софт. Они могут стать как точкой входа в организацию, так и слабым местом, которое спровоцирует отказ других информационных систем.
Аналитики MITRE изучили более 40 тысяч уязвимостей, описанных, которые были обнаружены и описаны за 2021 и 2022 годы. Каждый баг имеет идентификатор CWE — Common Weakness Enumeration.
Компании, которые занимаются разработкой программного обеспечения должны изучить список представленных угроз и устранить их в своих разработках. Также рекомендуется использовать специальный софт для поиска как указанных, так и других уязвимостей.
| Место | ID | Проблема |
| 1 | CWE-787 | Out-of-bounds Write |
| 2 | CWE-79 | Некорректная нейтрализация ввода во время создания веб-страницы (Cross-site Scripting) |
| 3 | CWE-89 | Некорректная нейтрализация специальных элементов, используемых в командах SQL (SQL Injection) |
| 4 | CWE-416 | Use After Free |
| 5 | CWE-78 | Некорректная нейтрализация специальных элементов, используемых в командах ОС (OS Command Injection) |
| 6 | CWE-20 | Некорректная проверка ввода |
| 7 | CWE-125 | Out-of-bounds чтение |
| 8 | CWE-22 | Обход каталога (Path Traversal) |
| 9 | CWE-352 | Подделка межсайтовых запросов (CSRF) |
| 10 | CWE-434 | Неограниченная загрузка файлов опасного типа |
| 11 | CWE-862 | Отсутствие авторизации |
| 12 | CWE-476 | Разыменование нулевого указателя |
| 13 | CWE-287 | Некорректная аутентификация |
| 14 | CWE-190 | Целочисленное переполнение или перенос |
| 15 | CWE-502 | Десериализация недоверенных данных |
| 16 | CWE-77 | Некорректная нейтрализация специальных элементов, используемых в командах (Command Injection) |
| 17 | CWE-119 | Некорректное ограничение операций в пределах буфера памяти |
| 18 | CWE-798 | Использование жестко закодированных учетных данных |
| 19 | CWE-918 | Подделка запросов на стороне сервера (SSRF) |
| 20 | CWE-306 | Отсутствие аутентификации для критической функции |
| 21 | CWE-362 | Провоцирование состояния гонки (Race Condition) |
| 22 | CWE-269 | Некорректное управление привилегиями |
| 23 | CWE-94 | Некорректный контроль над генерацией кода (Code Injection) |
| 24 | CWE-863 | Некорректная авторизация |
| 25 | CWE-276 | Неверные разрешения по умолчанию |