2023年CVE数据回顾

2023年CVE数据回顾
2024-1-11 08:32:28 Author: 潇湘信安(查看原文) 阅读量:16 收藏

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

2023 年是 CVE 数据创纪录增长的又一年，我认为通过深入研究这些统计数据并展示一些更有趣的数据点来开始新的一年是合适的。

CVE的数量

截至 2023 年，我们共发布了 28,902 个CVE，比2022 年发布的 25,081 个CVE 增长了 15% 以上。

平均每天发布 79.18 个CVE。
10 月是发布 CVE 最多的月份，共有 2,690 个，占全年所有 CVE 的 9.3% 。
周二是发布次数最多的日子，发布了 6,438 个CVE，占所有 CVE 的 22.3%。
1 月 26 日是单日发布 CVE 数量最多的一天，有 348 个。

按月划分的CVE

月	CVEs	百分比
一月	2337	8.1
二月	2123	7.3
三月	2517	8.7
四月	2330	8.1
五月	2418	8.4
六月	2391	8.3
七月	2307	8.0
八月	2478	8.6
九月	2152	7.4
十月	2690	9.3
十一月	2483	8.6
十二月	2676	9.3

按星期几划分的CVE

天	CVEs	百分比
周一	5005	17.3
周二	6438	22.3
周三	5895	20.4
周四	5064	17.5
周五	4597	15.9
周六	1006	3.5
周日	897	3.1

十大CVE发布日

天	CVEs
2023-01-26	348
2023-11-14	330
2023-10-25	327
2023-09-27	310
2023-12-15	289
2023-07-11	275
2023-10-10	254
2023-08-08	253
2023-05-09	251
2023-04-11	236

CVE增长

与 2017 年以来的每一年一样，我们发布的 CVE 数量破纪录，达到 28,902 个。比 2022 年增长了 15.23% 。这也意味着所有已发布的 CVE 中有 13.18% 是在去年发布的。

CVSS

通用漏洞评分系统 (CVSS)提供了一种捕获漏洞主要特征并生成 0.0 到 10.0 之间的数字分数的方法，以反映其严重性。今年CVSS平均分是 7.12。

https://www.first.org/cvss/

今年，36 个 CVE 获得了“满分” 10.0 分。

https://github.com/jgamblin/CVEReview/blob/main/2023_CVSS.ipynb

CVE-2023-21928 的已发布 CVSS 分数最低为 1.8。

https://nvd.nist.gov/vuln/detail/CVE-2023-21928

CPE

通用平台枚举 (CPE) 是信息技术系统、软件和软件包的结构化命名方案，可帮助识别 CVE 中识别的易受攻击的软件。

https://nvd.nist.gov/products/cpe

今年，CVE中发现了 3,119 个独特的 CPE。最常见的是 cpe:2.3:o:google:android:12.0:*:*:*:*:*:*:* 应用于 547 个 CVE。

CVE-2023-44183 是 Juniper Junos OS 漏洞，是拥有最多 CPE 的 CVE，具有 240 个 独特的易受攻击的配置。

https://nvd.nist.gov/vuln/detail/CVE-2023-44183

CNA

CVE 编号机构 (CNA) 是由 CVE 计划授权的软件供应商、开源项目、协调中心、错误赏金服务提供商、托管服务和研究小组，为漏洞分配 CVE ID 并在其特定覆盖范围内发布 CVE 记录。

https://www.cve.org/ProgramOrganization/CNAs

如今， CNA 数量已达 346 个。今年，其中 250 个 CNA 至少发布了一份 CVE。

https://www.cve.org/PartnerInformation/ListofPartners

去年排名前 5 的 CNA 分别是：

Patchstack：https://patchstack.com/category/security-advisories/VulDB：https://vuldb.com/?cna.recentGithub：https://github.com/advisoriesMicrosoft：https://www.microsoft.com/en-us/msrc/technical-security-notificationsWPScan：https://wpscan.com/wordpresses

今年排名前五的 CNA 中有四个（不包括 Microsoft）专门用于报告开源项目（VulDB 和 Github）或 WordPress 插件（Patchstack 和 WPScan）的 CVE。这四个 CNA 发布了 6,778 篇文章，占今年所有 CVES 的 24.12% 。

CWE

CWE 是社区开发的软件和硬件弱点类型列表。它是一种通用语言，是安全工具的衡量标准，也是弱点识别、缓解和预防工作的基线。

https://cwe.mitre.org/

今年共有 1,332 个 CWE，其中 237 个被分配到 CVE。CWE-79 是分配次数最多的 CWE，被分配了 4,474 次，占所有 CVE 的 15.48% 。NVD 未分配 CWE 的次数为 4,113 次，占所有 CVE 的 14.23% 。

https://cwe.mitre.org/data/index.htmlhttps://cwe.mitre.org/data/definitions/79.html

Notes

2,112 个被拒绝的 CVE 已从数据集中删除，因为一些 CNA 发布并拒绝任何未使用的保留 CVE ID，导致人为夸大记录计数。仅在 9 月 14 日，就有 662 篇文章发表，然后立即被拒绝。

https://www.cve.org/ResourcesSupport/FAQs#pc_cve_recordsreject_signify_in_cve_record

此 GitHub 存储库有 jupyter 笔记本，其中包含本博客中使用的所有数据和可视化。

https://github.com/jgamblin/CVEReview

CVE.ICU 是我运行的一个开源项目，如果您有兴趣了解这些数据，它可以全年实时跟踪上述大部分数据点。

https://cve.icu/intro.html

关注我们

还在等什么？赶紧点击下方名片开始学习吧！

信安考证

需要考以下各类安全证书的可以联系我，价格优惠、组团更便宜，还送【潇湘信安】知识星球1年！

CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001...

推荐阅读

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247508208&idx=1&sn=fdbf4f6c52e77bddc09ddece81138431&chksm=ce2f8137895c1118069005349cd91e3d61b2097a06e567a7d0da390e8cd45beef4cdd64638ea&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh