與上一年相比,2023 年指定 CVE 編號機構 (CNA) 的組織數量以及分配的常見漏洞和暴露 (CVE) 標識符的數量有所增加。
思科威脅檢測與響應首席工程師 Jerry Gamblin 表示,2023 年發布了 28,902 個 CVE,高于 2022 年的 25,081 個。平均每天有近 80 個新 CVE。自 2017 年以來,已發布的 CVE 數量一直在穩步增加。
從嚴重程度來看,2023 個 CVE 的平均 CVSS 評分為 7.12,其中 36 個漏洞的評分為 10。
根據MITRE 維護、美國政府贊助的CVE 計劃的數據,2023 年宣布的新 CNA 數量從 2022 年的 56 個增加到 84 個。目前,有來自 38 個國家的近 350 個 CNA。
CNA 是供應商、網絡安全公司和其他組織,被允許將 CVE 標識符分配給自己的產品和/或其他產品中發現的漏洞。
新的 CNA 名單包括獨立黑客組織,例如 Austin Hackers Anonymous;ServiceNow、開放設計聯盟等軟件組織;Schweitzer Engineering Laboratories、AMI、Moxa、Phoenix Technologies 和 Arm 等硬件制造商;政府機構,例如芬蘭國家網絡安全中心 (NCSC-FI);網絡安全公司,例如 Mandiant、Checkmarx、Otorio、VulnCheck、CrowdStrike、SEC Consult、Illumio 和 HiddenLayer;以及印刷巨頭利盟、佳能(歐洲、中東和非洲)和施樂。
Gamblin 指出,2023 年有 250 個 CNA 發布了至少一個 CVE。排名靠前的 CNA 包括 Microsoft、VulDB、GitHub 和 WordPress 安全公司 WPScan 和 PatchStack。VulDB、GitHub、WPScan 和 PatchStack 去年總共分配了超過 6,700 個 CVE。
最常分配的常見弱點枚舉 (CWE) 標識符類型是 CWE-79,即網頁生成期間輸入的不正確中和,也稱為跨站點腳本攻擊 (XSS)。去年,超過 4,100 個 CVE 被分配給 XSS 漏洞。
XSS 緊隨其后的是 SQL 注入漏洞,此類安全漏洞大約有 2,000 個。
CVE 的數字
截至 2023 年,我們共發布了28,902 個CVE,比2022 年發布的25,081 個CVE 增長了 15% 以上。
- 平均每天發布79.18 個CVE。
- 10 月是發布 CVE 最多的月份,共有2,690 個,占全年所有 CVE 的9.3% 。
- 周二是發布次數最多的日子,發布了6,438 個CVE,占所有 CVE 的22.3%。
- 1 月 26 日是單日發布 CVE 數量最多的一天,有348 個。
按月劃分的 CVE:
月 | CVE | 百分比 |
一月 | 2337 | 8.1 |
二月 | 2123 | 7.3 |
三月 | 2517 | 8.7 |
四月 | 2330 | 8.1 |
五月 | 2418 | 8.4 |
六月 | 2391 | 8.3 |
七月 | 2307 | 8.0 |
八月 | 2478 | 8.6 |
九月 | 第2152章 | 7.4 |
十月 | 2690 | 9.3 |
十一月 | 2483 | 8.6 |
十二月 | 2676 | 9.3 |
按星期幾劃分的 CVE:
天 | CVE | 百分比 |
周一 | 5005 | 17.3 |
周二 | 6438 | 22.3 |
周三 | 5895 | 20.4 |
周四 | 5064 | 17.5 |
周五 | 4597 | 15.9 |
周六 | 1006 | 3.5 |
周日 | 第897章 | 3.1 |
十大 CVE 發布日:
