2025: 48 185 CVE
2025 új rekordot hozott a kiberbiztonsági sebezhetőségek mennyiségében, a CVE (Common Vulnerabilities and Exposures) adatbázisban közzétett sebezhetőségek száma elérte a 48 185-öt, ami több mint 20%-os növekedést jelent a 2024-es 39 962-hez képest. Ez a növekedés nem csak a mennyiségben mutatkozik, a sebezhetőségek minősége, az azokhoz tartozó adatok teljesége és a prioritizálás lehetőségei is egyre fontosabbá válnak a kiberbiztonsági szakemberek számára.
A webes alkalmazások, különösen a tartalomkezelő rendszerek sebezhetőségei dominálnak. A leggyakoribb sebezhetőség-típusok között továbbra is a Cross-Site Scripting (XSS), az injekciós hibák (CWE-74), a hiányzó autorizáció (CWE-862) és az SQL-injekció (CWE-89) szerepel. Ezek a hibák évtizedek óta ismertek, mégis folyamatosan jelen vannak, ami azt mutatja, hogy a fejlesztők és a rendszergazdák számára ezek a problémák még mindig nem oldottak meg elég hatékonyan.
A CVE-adatok minősége és teljesége továbbra is aggasztó, 2025-ben is számos bejegyzés hiányzik vagy hiányos, például a CPE (Common Platform Enumeration) azonosítók nélkül, amelyek nélkül a sebezhetőség-kezelő rendszerek vakon működnek. Ez azt jelenti, hogy a rendszergazdák számára nehéz lehet pontosan azonosítani, hogy melyik szoftververziók érintettek, és így a javítások, frissítések prioritizálása is bonyolultabbá válik.
A CVE-számok növekedése nem csak a valóban új sebezhetőségek felfedezését tükrözi, hanem a jelentési és dokumentálási folyamatok változásait is. Egyre több szervezet és kutató vesz részt a sebezhetőségek azonosításában és közzétételében, ami növeli a bejelentett hibák számát, de nem feltétlenül javítja az adatok minőségét vagy hasznosíthatóságát.
Jerry Gamblin, a CVE.icu, a CNAScorecard.org és a CVEForecast.org platformok létrehozója, hangsúlyozza, a sebezhetőségek száma már olyan szinten van, hogy nem lehet mindent kijavítani. A megoldás a prioritizálásban és az automatizálásban rejlik. A CVEForecast.org például előrejelzi a jövőbeli CVE-számokat, hogy a szervezetek jobban felkészülhessenek a várható kihívásokra. A CNAScorecard.org pedig segít abban, hogy a CNA-k (CVE Numbering Authorities) teljesítményét és az általuk közzétett adatok minőségét mérjük és javítsuk.
A 2025-ös adatok alapján egyértelmű, hogy a kiberbiztonság világában a mennyiség és a minőség közötti egyensúly keresése egyre fontosabbá válik. A szakembereknek nem csak a sebezhetőségek számával, hanem azok valós fenyegetettségével és kizsákmányolhatóságával is foglalkozniuk kell, hogy hatékonyan védekezhessenek a növekvő kihívások ellen.
