Vorig jaar is een recordaantal kwetsbaarheden aan de CVE-database toegevoegd, zo blijkt uit cijfers die Security.NL analyseerde. Aan meer dan 18.300 kwetsbaarheden werd een CVE-nummer toegekend. Duizend meer dan in 2019 en voor het eerst werd de grens van de 18.000 lekken gepasseerd.
In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst. CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. Onderzoekers, ontwikkelaars of bedrijven die een kwetsbaarheid vinden kunnen hiervoor een CVE-nummer aanvragen.
Van 2010 tot en met 2016 bleef het aantal kwetsbaarheden met een CVE-nummer jaarlijks onder de 8000, zo blijkt uit cijfers van de National Vulnerability Database die de CVE-nummers bijhoudt. Vanaf 2017 is er een sterke stijging zichtbaar en worden er in één jaar 14.600 beveiligingslekken aan de CVE-database toegevoegd. Deze lijn zet zich de jaren erna door, met in 2018, 2019 en 2020 respectievelijk 16.500, 17.300 en 18.300 nieuwe kwetsbaarheden.
Een groot aantal van de kwetsbaarheden betreft buffer overflows, SQL-injection, use-after-free, cross-site scripting en command injection, maar ook zaken als hardcoded wachtwoorden en het plaintext opslaan en versturen van inloggegevens en andere data komt nog geregeld voor. De CVE-database is niet allesomvattend, aangezien niet voor alle kwetsbaarheden een CVE-nummer wordt aangevraagd of uitgegeven. Daarnaast is er ook kritiek op het CVE-systeem. Zo werden onlangs nog voor één probleem meerdere CVE-nummers uitgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.