2023年第1四半期に最も多く登録された脆弱性対策情報は「XSS」

　独立行政法人 情報処理推進機構（IPA）は4月19日、2023年第1四半期（1月から3月）における「脆弱性対策情報データベース『JVN iPedia』の登録状況」を発表した。

　発表によると、同期間にJVN iPedia日本語版へ登録された脆弱性対策情報は2,986件で、累計登録件数が154,942件となった。内訳は、国内製品開発者から収集したもの2件（公開開始からの累計は263件）、JVNから収集したもの180件（累計12,149件）、NVDから収集したもの2,804件（累計142,530件）となっている。

　JVN iPedia英語版へ登録された脆弱性対策情報は45件で、累計登録件数が2,572件となった。内訳は、国内製品開発者から収集したもの2件（公開開始からの累計は266件）、JVNから収集したもの43件（累計2,306件）となっている。

　件数が多かった脆弱性は、「CWE-79（クロスサイトスクリプティング：XSS）」343件、「CWE-787（境界外書き込み）」262件、「CWE-89（SQLインジェクション）」140件、「CWE-416（解放済みメモリの使用）」94件、「CWE-125（境界外読み取り）」83件などとなっている。

　CVSSv3による深刻度別では、「緊急」が全体の15.5％、「重要」が同42.1％、「警告」が同40.4％、「注意」が同1.9％となった。ただし、必ずしも深刻度の高さと攻撃受ける数は比例しないので、注意が必要だ。

　製品別登録状況では、「Qualcomm component (クアルコム)」382件、「Mozilla Firefox (Mozilla Foundation)」154件、「Microsoft Windows 10 (マイクロソフト)」151件、「Microsoft Windows 11 (マイクロソフト)」150件、「Microsoft Windows Server 2022 (マイクロソフト)」147件が上位となった。10位中6製品がマイクロソフト製品（OS）、2製品がブラウザであった。