与上一年相比,2023 年指定 CVE 编号机构 (CNA) 的组织数量以及分配的常见漏洞和暴露 (CVE) 标识符的数量有所增加。
与上一年相比,2023 年指定 CVE 编号机构 (CNA) 的组织数量以及分配的常见漏洞和暴露 (CVE) 标识符的数量有所增加。
思科威胁检测与响应首席工程师 Jerry Gamblin 表示,2023 年发布了 28,902 个 CVE,高于 2022 年的 25,081 个。平均每天有近 80 个新 CVE。自 2017 年以来,已发布的 CVE 数量一直在稳步增加。
从严重程度来看,2023 个 CVE 的平均 CVSS 评分为 7.12,其中 36 个漏洞的评分为 10。
根据MITRE 维护、美国政府赞助的CVE 计划的数据,2023 年宣布的新 CNA 数量从 2022 年的 56 个增加到 84 个。目前,有来自 38 个国家的近 350 个 CNA。
CNA 是供应商、网络安全公司和其他组织,被允许将 CVE 标识符分配给自己的产品和/或其他产品中发现的漏洞。
新的 CNA 名单包括独立黑客组织,例如 Austin Hackers Anonymous;ServiceNow、开放设计联盟等软件组织;Schweitzer Engineering Laboratories、AMI、Moxa、Phoenix Technologies 和 Arm 等硬件制造商;政府机构,例如芬兰国家网络安全中心 (NCSC-FI);网络安全公司,例如 Mandiant、Checkmarx、Otorio、VulnCheck、CrowdStrike、SEC Consult、Illumio 和 HiddenLayer;以及印刷巨头利盟、佳能(欧洲、中东和非洲)和施乐。
Gamblin 指出,2023 年有 250 个 CNA 发布了至少一个 CVE。排名靠前的 CNA 包括 Microsoft、VulDB、GitHub 和 WordPress 安全公司 WPScan 和 PatchStack。VulDB、GitHub、WPScan 和 PatchStack 去年总共分配了超过 6,700 个 CVE。
最常分配的常见弱点枚举 (CWE) 标识符类型是 CWE-79,即网页生成期间输入的不正确中和,也称为跨站点脚本攻击 (XSS)。去年,超过 4,100 个 CVE 被分配给 XSS 漏洞。
XSS 紧随其后的是 SQL 注入漏洞,此类安全漏洞大约有 2,000 个。
CVE 的数字
截至 2023 年,我们共发布了28,902 个CVE,比2022 年发布的25,081 个CVE 增长了 15% 以上。
- 平均每天发布79.18 个CVE。
- 10 月是发布 CVE 最多的月份,共有2,690 个,占全年所有 CVE 的9.3% 。
- 周二是发布次数最多的日子,发布了6,438 个CVE,占所有 CVE 的22.3%。
- 1 月 26 日是单日发布 CVE 数量最多的一天,有348 个。
按月划分的 CVE:
|
月 |
CVE |
百分比 |
|
一月 |
2337 |
8.1 |
|
二月 |
2123 |
7.3 |
|
三月 |
2517 |
8.7 |
|
四月 |
2330 |
8.1 |
|
五月 |
2418 |
8.4 |
|
六月 |
2391 |
8.3 |
|
七月 |
2307 |
8.0 |
|
八月 |
2478 |
8.6 |
|
九月 |
第2152章 |
7.4 |
|
十月 |
2690 |
9.3 |
|
十一月 |
2483 |
8.6 |
|
十二月 |
2676 |
9.3 |
按星期几划分的 CVE:
|
天 |
CVE |
百分比 |
|
周一 |
5005 |
17.3 |
|
周二 |
6438 |
22.3 |
|
周三 |
5895 |
20.4 |
|
周四 |
5064 |
17.5 |
|
周五 |
4597 |
15.9 |
|
周六 |
1006 |
3.5 |
|
周日 |
第897章 |
3.1 |
十大 CVE 发布日:
©本文为清一色官方代发,观点仅代表作者本人,与清一色无关。清一色对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。本文不作为投资理财建议,请读者仅作参考,并请自行承担全部责任。文中部分文字/图片/视频/音频等来源于网络,如侵犯到著作权人的权利,请与我们联系(微信/QQ:1074760229)。转载请注明出处:清一色财经
微信扫码打赏 
支付宝扫码打赏 
