Het aantal beveiligingslekken dat vorig jaar aan de CVE-database werd toegevoegd is wederom gestegen. Ging het in 2018 nog om meer dan 16.500 kwetsbaarheden, vorig jaar waren het er 17.300. De meeste kwetsbaarheden werden in Android gerapporteerd.

Dat blijkt uit cijfers van CVE-Details en de National Vulnerability Database van het Amerikaanse National Institute of Standards and Technology (NIST). CVE staat voor Common Vulnerabilities en Exposures. Zodra leveranciers of onderzoekers een lek vinden kunnen ze hiervoor een CVE-nummer aanvragen. Vervolgens kan de betreffende kwetsbaarheid via het uitgegeven CVE-nummer worden gevolgd en benoemd, bijvoorbeeld in een beveiligingsupdate van de leverancier.

Van 2005 tot en met 2016 werden er elk jaar zo'n 5.000 tot 7.000 CVE-nummers aan de database toegevoegd. In 2017 was er opeens een piek zichtbaar met 14.700 lekken. Een jaar later ging het zelfs om 16.500 kwetsbaarheden en vorig jaar werden 17.300 beveiligingslekken aan de CVE-database toegevoegd. Een reden voor de sterke stijging van de afgelopen jaren ligt mogelijk in de opkomst van slecht beveiligde IoT-apparaten, de roep om meer software die sneller moet worden opgeleverd en het groeiend aantal onderzoekers, aldus het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA).

Het aantal gevonden en gerapporteerde kwetsbaarheden ligt volgens securitybedrijf Risk Based Security, dat een eigen database met kwetsbaarheden bijhoudt, veel hoger. Niet alle gevonden kwetsbaarheden worden namelijk van een CVE-nummer voorzien. Het securitybedrijf stelt dat er in de eerste drie kwartalen van 2019 al 6.000 kwetsbaarheden in de CVE-database ontbraken.

Kwetsbaarheden die niet van een CVE-nummer zijn voorzien worden door sommige ontwikkelaars en organisaties niet gevolgd of opgepakt, waardoor systemen kwetsbaar blijven, aldus Will Dormann van het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit.