2023 年新增漏洞统计：28,000 个新增 CVE ，84 个新增 CNA

2023 年总共分配了超过 28,000 个 CVE ID，并命名了 84 个新的 CVE 编号机构 (CNA)。

与上一年相比，2023 年指定 CVE 编号机构 (CNA) 的组织数量以及分配的常见漏洞和暴露 (CVE) 标识符的数量有所增加。

思科威胁检测与响应首席工程师 Jerry Gamblin 表示，2023 年发布了 28,902 个 CVE，高于 2022 年的 25,081 个。平均每天有近 80 个新 CVE。自 2017 年以来，已发布的 CVE 数量一直在稳步增加。

从严重程度来看，2023 个 CVE 的平均 CVSS 评分为 7.12，其中 36 个漏洞的评分为 10。

根据MITRE 维护、美国政府赞助的 CVE 计划的数据，2023 年宣布的新 CNA 数量从 2022 年的 56 个增加到 84 个。目前，有来自 38 个国家的近 350 个 CNA。

CNA 是供应商、网络安全公司和其他组织，它们被允许将 CVE 标识符分配给自己的产品和/或其他产品中发现的漏洞。

新的 CNA 名单包括独立黑客组织，例如 Austin Hackers Anonymous；ServiceNow、开放设计联盟等软件组织；Schweitzer Engineering Laboratories、AMI、Moxa、Phoenix Technologies 和 Arm 等硬件制造商；政府机构，例如芬兰国家网络安全中心 (NCSC-FI)；网络安全公司，例如 Mandiant、Checkmarx、Otorio、VulnCheck、CrowdStrike、SEC Consult、Illumio 和 HiddenLayer；以及印刷巨头利盟、佳能（欧洲、中东和非洲）和施乐。

Gamblin 指出，2023 年有 250 个 CNA 发布了至少一个 CVE。排名靠前的 CNA 包括 Microsoft、VulDB、GitHub 和 WordPress 安全公司 WPScan 和 PatchStack。VulDB、GitHub、WPScan 和 PatchStack 去年总共分配了超过 6,700 个 CVE。

最常分配的常见弱点枚举 (CWE) 标识符类型是 CWE-79，即网页生成期间输入的不正确中和，也称为跨站点脚本攻击 (XSS)。去年，超过 4,100 个 CVE 被分配给 XSS 漏洞。

XSS 紧随其后的是 SQL 注入漏洞，此类安全漏洞大约有 2,000 个。

转自FreeBuf，原文链接：https://www.anquanke.com/post/id/292487