Das Common Weakness Enumeration-Projekt (CWE) hat die Liste für das Jahr 2022 der 25 gefährlichsten Softwareschwachstellen zusammengestellt. Die Liste soll die derzeit am meisten vorkommenden Lücken mit den gravierendsten Auswirkungen aufführen. Sie soll unter anderem Softwarearchitekten, Designern, Entwicklern, Testern, Nutzern, Projektmanagern, Sicherheitsforschern, Ausbildern und bei Standard-entwickelnden Organisationen Zuarbeitenden dabei helfen, Risiken einzudämmen. An der diesjährigen Spitzenposition findet sich ein alter Bekannter: die Fehlerkategorie Buffer Overlow. Die Tabelle basiert auf den Sicherheitslücken, die im vergangenen Jahr in der CVE-Datenbank sowie im Katalog der bekannten und missbrauchten Schwachstellen der US-amerikanischen Cyber-Sicherheitsbehörde CISA eingegangen sind. Diese haben die Autoren gesichtet und die zugrundeliegenden Sicherheitslücken CWE-Einträgen zugeordnet, die den Typ von Schwachstellen beschreiben. Die Tabelle basiert auf den Sicherheitslücken, die im vergangenen Jahr in der CVE-Datenbank sowie im Katalog der bekannten und missbrauchten Schwachstellen der US-amerikanischen Cyber-Sicherheitsbehörde CISA eingegangen sind. Diese haben die Autoren gesichtet und die zugrundeliegenden Sicherheitslücken CWE-Einträgen zugeordnet, die den Typ von Schwachstellen beschreiben.
| Platz | ID | Beschreibung |
| 1 | CWE-787 | Out-of-bounds Write |
| 2 | CWE-79 | Improper Neutralization of Input During Web Page Generation (‚Cross-site Scripting‘) |
| 3 | CWE-89 | Improper Neutralization of Special Elements used in an SQL Command (‚SQL Injection‘) |
| 4 | CWE-20 | Improper Input Validation |
| 5 | CWE-125 | Out-of-bounds Read |
| 6 | CWE-78 | Improper Neutralization of Special Elements used in an OS Command (‚OS Command Injection‘) |
| 7 | CWE-416 | Use After Free |
| 8 | CWE-22 | Improper Limitation of a Pathname to a Restricted Directory (‚Path Traversal‘) |
| 9 | CWE-352 | Cross-Site Request Forgery (CSRF) |
| 10 | CWE-434 | Unrestricted Upload of File with Dangerous Type |
| 11 | CWE-476 | NULL Pointer Dereference |
| 12 | CWE-502 | Deserialization of Untrusted Data |
| 13 | CWE-190 | Integer Overflow or Wraparound |
| 14 | CWE-287 | Improper Authentication |
| 15 | CWE-798 | Use of Hard-coded Credentials |
| 16 | CWE-862 | Missing Authorization |
| 17 | CWE-77 | Improper Neutralization of Special Elements used in a Command (‚Command Injection‘) |
| 18 | CWE-306 | Missing Authentication for Critical Function |
| 19 | CWE-119 | Improper Restriction of Operations within the Bounds of a Memory Buffer |
| 20 | CWE-276 | Incorrect Default Permissions |
| 21 | CWE-918 | Server-Side Request Forgery (SSRF) |
| 22 | CWE-362 | Concurrent Execution using Shared Resource with Improper Synchronization (‚Race Condition‘) |
| 23 | CWE-400 | Uncontrolled Resource Consumption |
| 24 | CWE-611 | Improper Restriction of XML External Entity Reference |
| 25 | CWE-94 | Improper Control of Generation of Code (‚Code Injection‘) |
Die konkrete Tabelle umfasst zunächst die 25 angekündigten Einträge. Die Autoren der CWE-Top25-Liste verweisen jedoch auf 15 weitere häufige Softwarefehler, die IT-Verantwortliche, die mit dem Umgang und der Risiko-Entscheidungsfindung betraut sind, ebenfalls stärker berücksichtigen sollten. Die CWE trägt jährlich die Top 25 der Schwachstellen zusammen. So auch im vergangenen Jahr 2021, wo der gemeine Pufferüberlauf ebenfalls die Liste anführte.