セキュリティベンダーのImpervaが発表した脆弱性に関する調査「The State of Vulnerabilities in 2020」によると、2020年の発見された脆弱性は前年比2.04%減の2万3006件だった。2018年比では0.86%減と2年連続の微減だった。
ウェブアプリケーションでは脆弱性の根本原因としてクロスサイトスクリプティング(XSS)が最多だった一方、Impervaが実際に観測した攻撃はインジェクションが多く、その大部分をSQLインジェクション関連が占めたという、この他にパストラバーサルとローカルファイルインクルード攻撃が全体の2割強を占めた。
コンテンツ管理システム(CMS)ではWordPressが多く、サーバー側ではNodeJS向けのJavaScriptで記述されたアプリケーションやパッケージの脆弱性が増加したとする。2020年に発見された新たな脆弱性の92.4%には未知のエクスプロイトが含まれ、データベースではMySQLが最多だったという。また、サイバー攻撃に関するTwitterトレンドの上位20件のうち75%がインジェクションとリモートコード実行にまつわるものだった。
Impervaは、XSSやインジェクションなどの脆弱性が引き続き深刻な問題であり続けると指摘するとともに、2021年はAPI関連の脆弱性の脅威が高まるだろうと予想している。
脆弱性の内訳
CMSの脆弱性状況
データベースの脆弱性状況
