Se refiere al uso de componentes vulnerables. Es la única categoría que no tiene ninguna CVE (Common Vulnerability and Exposures) mapeada en los CWE incluidos, por lo que las puntuaciones se calculan con un peso predeterminado de 5,0 para el exploit y el impacto.
Un paquete obsoleto es una dependencia del sistema o de la aplicación que ya no se mantiene y que puede representar un riesgo para la seguridad.
Una vulnerabilidad que afecte a dicho paquete podría hacer vulnerable a todo el software que lo utilice y convertirse en una posible vía de acceso para los atacantes.
| OWASP Top 10 Application Security Risks - 2021 | Referencia |
|---|---|
| A06:2021-Vulnerable and outdated components | OWASP |
Un componente de software que no se mantiene y actualiza pronto se volverá inseguro y afectado por vulnerabilidades que los atacantes podrán explotar para comprometer el sistema.Francesco Ongaro
