A06:2021 – Componente vulnerabile și învechite
Vulnerable and Outdated Components
Componente vulnerabile și învechite se referă la utilizarea de biblioteci, framework-uri și alte componente software care conțin vulnerabilități cunoscute sau care nu mai sunt menținute. Aceasta include componente client-side și server-side, precum și orice software utilizat în infrastructura aplicației.
Această vulnerabilitate a urcat de pe poziția 9 (în 2017) pe poziția 6 în topul OWASP 2021, reflectând creșterea dependenței aplicațiilor moderne de componente terțe și riscurile asociate cu acestea.
1. Utilizarea de biblioteci cu vulnerabilități cunoscute
Aplicații care utilizează biblioteci sau framework-uri cu vulnerabilități cunoscute și documentate public. De exemplu, utilizarea unei versiuni vechi de Spring Framework care conține vulnerabilități de tip RCE (Remote Code Execution) sau utilizarea unei versiuni vulnerabile de jQuery care permite atacuri XSS.
2. Componente care nu mai sunt menținute
Utilizarea de biblioteci sau framework-uri care nu mai sunt menținute sau actualizate. Aceste componente nu primesc patch-uri de securitate pentru vulnerabilitățile nou descoperite, lăsând aplicația expusă la riscuri.
3. Sisteme de operare și servere neactualizate
Utilizarea de sisteme de operare, servere web sau servere de aplicații care nu au aplicate cele mai recente patch-uri de securitate. Aceasta include și utilizarea de versiuni care nu mai sunt suportate de producători.
4. Lipsa scanării și monitorizării dependențelor
Organizații care nu scanează sau monitorizează regulat dependențele pentru vulnerabilități și nu au un proces pentru actualizarea promptă a componentelor vulnerabile.
5. Incompatibilitate între componente
Actualizarea unei componente fără a verifica compatibilitatea cu alte componente ale aplicației, ceea ce poate duce la probleme de funcționalitate sau la introducerea de noi vulnerabilități.