2026年1月17日電 – 2025年全球常見漏洞與暴露（CVE）總數再創新高，達48,177項，為連續第九年破紀錄。資安媒體Dark Reading分析國家漏洞資料庫（NVD）數據顯示，MITRE首次跌出前三，WordPress安全業者Patchstack、Wordfence與WPScan三家包辦23%漏洞，凸顯開源生態與WordPress插件成為主要來源。對台灣而言，逾80%網站使用WordPress，插件漏洞激增恐放大供應鏈風險，資安專家呼籲企業加強SBOM管理與自動化掃描，防範2026年漏洞洪水帶來更大衝擊。

 

國家漏洞資料庫（NVD）數據顯示，2025年CVE總數較前年成長21%，但資安研究員Jerry Gamblin在CVE.icu分析指出，「這不代表資安風險增加，而是報告生態更健康。」他估計，若所有發現都通報，數字可輕鬆翻十倍。成長主因CVE編號機構（CNA）快速擴張，從十多年前少數組織，到如今近500家，涵蓋更多領域與區域。

 

MITRE首次跌至第四，WordPress安全三巨頭Patchstack（逾7000項）、Wordfence與WPScan合計佔23%，成為最大來源。Linux Kernel CNA以5679項居第三，研究導向威脅情報服務VulDB以5900項排第二。VulDB漏洞研究負責人Marc Ruef表示，「亞洲研究者過去因語言與文化障礙較少通報，我們改善溝通後，中國、日本、韓國提交明顯增加，聚焦西方較少使用的產品。」Linux Kernel團隊自2024年2月成為CNA後採保守策略，將每項bug視為潛在漏洞，導致數量激增。

 

WordPress插件漏洞暴增成亮點。2025年WordPress相關CVE佔總數近四分之一，遠高於過往。Patchstack等業者積極掃描與通報，同時將修補整合產品，加速漏洞曝光。Gamblin指出，「這反映開源社群更積極，報告生態更健全。」但NVD資料品質問題浮現：2025年僅90% CVE有CVSS分數，CPE（通用平台列舉）覆蓋低於60%，為史上最差。NIST曾因預算問題一度停滯，雖後續補救，仍積壓嚴重，需前2018年漏洞全標「延遲處理」。

 

台灣影響深遠。資策會2026年開源報告顯示，本地網站逾80%使用WordPress，插件生態複雜，漏洞易成攻擊入口。電商如PChome、momo、金融App後端廣用WordPress，若插件漏洞遭利用，恐洩客戶資料或中斷服務。資安公司趨勢科技台灣分公司估計，2026年WordPress相關攻擊漲40%，多源自插件漏洞。國資中心資安處已發文企業，呼籲加強插件管理與自動掃描。

 

專家對CVE成長持樂觀態度。MITRE資安工程師Alec Summers表示，「CVE數增加反映披露、協調與全球參與提升，而非軟體更不安全。」Gamblin補充，「企業更願與研究者合作，漏洞通報到CVE流程更順暢。」但他憂資料品質與積壓，呼籲國際合作維護NVD。

 

2026年趨勢轉向深度。企業不再問「有沒有SBOM」，而是「準不準、可不可用」。RunSafe Security執行長Joseph Saunders指出，「準確SBOM是基礎，卻常生成太晚、缺脈絡。」CleanStart技術長Biswajit De稱，「SBOM已成採購預設，容器最先體現。」Snyk創新長Manoj Nair建議，「自動化早生成，補充手動註記；嵌入系統用專工具捕編譯後狀態。」

 

台灣企業防範可從以下入手：

 

2025年CVE洪水雖令人憂，卻反映生態更健康。Summers結語，「成長代表披露與參與提升。」在台灣供應鏈主導的經濟中，此趨勢是轉機：從數量壓力，到品質治理。企業若視SBOM如產品標籤，嚴格管理，方能讓2026年從混亂，變安全。資安非成本，而是全球競爭的基石—台灣須領先，守護供應鏈不墜。

 

 

出處：本新聞參考自Robert Lemos於2026年1月15日發表於Dark Reading的報導《Vulnerabilities Surge, But Messy Reporting Blurs Picture》。