Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Как сделать из одной мухи пять слонов. Инструкция от составителей базы CVE

leer en español

CVE уязвимость MITRE VulnDB идентификатор
Как сделать из одной мухи пять слонов. Инструкция от составителей базы CVE
CVE уязвимость MITRE VulnDB идентификатор

Как эксперты пугают нас дутыми цифрами

image

Почти 50 тысяч уязвимостей за год звучат тревожно. Но за громкой цифрой скрывается путаница. Далеко не каждая запись CVE описывает реальную проблему безопасности, и сама статистика часто вводит в заблуждение.

В 2025 году опубликовали более 48 тысяч записей CVE – это общепринятые идентификаторы уязвимостей. При этом база VulnDB насчитала 44 146 реальных проблем. Разница в несколько тысяч говорит о простом факте: не каждый CVE описывает отдельную уязвимость.

Причин несколько. Первая связана с тем, как присваивают номера. Префикс CVE не обязан совпадать с годом публикации. Организация MITRE не требует строгой привязки к дате раскрытия, а сама дата раскрытия в системе не фиксируется. В итоге невозможно точно сказать, сколько новых уязвимостей нашли именно за конкретный год.

Вторая причина – разный подход к описанию одной и той же проблемы. Один специалист может оформить находку как одну уязвимость, другой разобьёт на несколько, третий сочтёт дубликатом. У MITRE нет единой политики, которая бы задавала такие правила, поэтому многое зависит от тех, кто отправляет заявку на получение CVE.

Третья причина – дубликаты. За последние пару лет ситуация заметно ухудшилась. Некоторые авторы буквально «выращивают» CVE: подают заявки на один и тот же дефект несколько раз. Система почти не проверяет качество и не отсеивает повторы, поэтому получить несколько идентификаторов для одной проблемы несложно.

Чаще всего такая история встречается в двух категориях. Первая – любительские проекты на PHP, которые почти не используют в бизнесе. Автор может сделать копию программы, немного изменить внешний вид – и оформить новую уязвимость с отдельным CVE, хотя код почти не изменился. Вторая – домашние маршрутизаторы от D-Link, Netgear, TP-Link, Tenda и ASUS. Разные способы проверки одной и той же уязвимости приводят к нескольким публикациям, которые сложно распознать как повторы.

Есть и другие нюансы. В статистику иногда попадают отклонённые записи – формально они опубликованы, но не описывают уязвимость. Часть отчётов вообще касается не проблем безопасности, а обычных ошибок стабильности или сбоев без повышения привилегий. В 2025 году таких случаев оказалось не меньше трёх сотен.

Рост числа CVE в последние годы во многом объясняется организационными изменениями. Например, в 2021 году статус центра нумерации получили Wordfence и Patchstack. После этого поток новых записей резко вырос. Позже к процессу подключилась команда ядра Linux, которая прямо заявила, что может присваивать CVE почти любой ошибке, поскольку любая из них потенциально влияет на безопасность.

При этом динамика не всегда идёт вверх. После резкого роста в 2021 году количество записей в 2022-м даже немного сократилось. Такая же реакция рынка повторилась и после всплеска в 2025 году.