信息安全漏洞月报(2024年12月)

根据国家信息安全漏洞库(CNNVD)统计,2024年12月采集安全漏洞共3361个。本月接报漏洞1905个,其中信息技术产品漏洞(通用型漏洞)1588个,网络信息系统漏洞(事件型漏洞)317个。漏洞平台推送漏洞185314个。重大漏洞通报Apache Struts 安全漏洞(CNNVD-202412-1393/CVE-2024-53677):Apache Struts 2.0.0版本至6.4.0之前版本存在安全漏洞,该漏洞源于文件上传逻辑缺陷。目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://struts.apache.org/core-developers/file-upload

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,2024年12月新增安全漏洞共3361个,从厂商分布来看,WordPress漏洞数量最多,共发布1192个;从漏洞类型来看,跨站脚本漏洞占比最大,达到16.13%。本月新增漏洞中,超危漏洞198个、高危漏洞759个、中危漏洞2335个、低危漏洞69个,相应修复率分别为72.23%、89.20%、85.36%以及69.57%。合计2861个漏洞已有修复补丁发布,本月整体修复率85.13%。

1.1 漏洞增长概况

2024年12月新增安全漏洞3361个,与上月(3920个)相比减少了14.27%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到3222个。

信息安全漏洞月报(2024年12月)

图1  2024年7月至2024年12月漏洞新增数量统计图

1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2024年12月厂商漏洞数量分布情况如表1所示,WordPress漏洞达到1192个,占本月漏洞总量35.47%。表1  2024年12月新增漏洞排名前十厂商统计表

序号厂商名称漏洞数量(个)所占比例
1WordPress119235.47%
2Linux35810.65%
3Adobe1664.94%
4Microsoft762.26%
5Apple621.85%
6IBM531.58%
7Google491.46%
8Code-Projects481.43%
9PHPGurukul451.34%
10Dell351.04%

1.2.2 漏洞类型分布

2024年12月漏洞类型分布情况如表2所示,其中跨站脚本类漏洞所占比例最大,约为16.13%。

表2  2024年12月漏洞类型统计表

序号漏洞类型漏洞数量(个)所占比例
1跨站脚本54216.13%
2跨站请求伪造1484.40%
3代码问题922.74%
4注入762.26%
5SQL注入752.23%
6缓冲区错误661.96%
7代码注入591.76%
8输入验证错误351.04%
9路径遍历260.77%
10信息泄露250.74%
11访问控制错误240.71%
12资源管理错误200.60%
13授权问题180.54%
14操作系统命令注入150.45%
15数字错误130.39%
16后置链接70.21%
17信任管理问题50.15%
18加密问题50.15%
19数据伪造问题40.12%
20竞争条件问题30.09%
21命令注入30.09%
22格式化字符串错误20.06%
23日志信息泄露20.06%
24权限许可和访问控制问题10.03%
25环境问题10.03%
26安全特征问题10.03%
27参数注入10.03%

1.2.3 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低分为四个等级:超危、高危、中危和低危。2024年12月漏洞危害等级分布情况如图2所示,其中超危漏洞198个,占本月漏洞总量5.89%。

信息安全漏洞月报(2024年12月)

图2  2024年12月漏洞危害等级分布图

1.3 漏洞修复情况

1.3.1 整体修复情况

2024年12月各危害等级修复情况如图3所示,低危漏洞修复率最高,为89.20%,超危漏洞修复率最低,为69.57%。

总体来看,本月整体修复率由上月的71.36%下降至本月的85.13%。

1.3.2 厂商修复情况

2024年12月新增漏洞数量排名前十厂商修复情况如表3所示,合计2084个漏洞,占本月漏洞总量62.01%,平均修复率为79.32%。

表3  2024年12月厂商修复情况统计表

序号厂商名称漏洞数量(个)修复数量修复率
1WordPress11921,11893.80%
2Linux358358100.00%
3Adobe16616599.40%
4Microsoft7676100.00%
5Apple6262100.00%
6IBM5353100.00%
7Google4949100.00%
8Code-Projects4800.00%
9PHPGurukul4500.00%
10Dell3535100.00%

接报漏洞情况

2024年12月接报漏洞1905个,其中信息技术产品漏洞(通用型漏洞)1588个,网络信息系统漏洞(事件型漏洞)317个。详情如表4所示。

表4  2024年12月接报漏洞情况表

序号报送单位漏洞数量
1广州纬安科技有限公司402
2个人251
3内蒙古数字安全科技有限公司127
4内蒙古旌云科技有限公司63
5北京启明星辰信息安全技术有限公司47
6宁波和利时信息安全研究院有限公司32
7浙江宇视科技有限公司31
8博智安全科技股份有限公司29
9华为技术有限公司26
10内蒙古洞明科技有限公司25
11北京边界无限科技有限公司24
12奇安信网神信息技术(北京)股份有限公司23
13南京赛宁信息技术有限公司23
14途耀信息技术(上海)有限公司22
15北京天下信安技术有限公司20
16广州竞远安全技术股份有限公司20
17星云博创科技有限公司20
18联通数字科技有限公司17
19苏州棱镜七彩信息科技有限公司17
20河南灵创电子科技有限公司17
21北京天融信网络安全技术有限公司16
22开源网安物联网技术(武汉)有限公司16
23上海斗象信息科技有限公司15
24北京安博通科技股份有限公司14
25网宿科技股份有限公司14
26深信服科技股份有限公司14
27成都创信华通信息技术有限公司14
28中兴通讯股份有限公司13
29北京长亭科技有限公司13
30北京国科数安科技有限公司13
31北京雪诺科技有限公司13
32江苏君立华域信息安全技术股份有限公司13
33贵州多彩网安科技有限公司12
34北京安帝科技有限公司11
35北京金睛云华科技有限公司11
36北京浩瀚深度信息技术股份有限公司11
37道普信息技术有限公司10
38北京安普诺信息技术有限公司9
39北京安信天行科技有限公司9
40中资网络信息安全科技有限公司9
41北京微步在线科技有限公司9
42安恒愿景(成都)信息科技有限公司9
43成都安美勤信息技术股份有限公司9
44上海巨耕信息技术有限公司8
45北京世纪超星信息技术发展有限责任公司8
46腾讯云计算(北京)有限责任公司8
47北京容辉智信科技有限公司8
48浪潮电子信息产业股份有限公司8
49江苏网擎安全技术有限公司8
50内蒙古网智科技服务有限责任公司8
51上海安几科技有限公司7
52任子行网络技术股份有限公司7
53北京安天网络安全技术有限公司7
54新华三技术有限公司7
55河南东方云盾信息技术有限公司7
56广东省信息安全测评中心7
57杭州海康威视数字技术股份有限公司7
58内蒙古思沃科技有限公司6
59南京国云电力有限公司6
60云南南天电子信息产业股份有限公司6
61中质智通检测技术有限公司6
62广州非凡信息安全技术有限公司6
63杰润鸿远(北京)科技有限公司6
64浙江齐安信息科技有限公司6
65西安交大捷普网络科技有限公司6
66长沙中格创新科技有限公司6
67塞讯信息技术(上海)有限公司6
68上海纽盾科技股份有限公司5
69京数安(北京)科技有限公司5
70中科方德软件有限公司5
71上海谋乐网络科技有限公司5
72北京纽盾网安信息技术有限公司5
73北京知道创宇信息技术股份有限公司5
74重庆梦之想科技有限责任公司5
75江苏百达智慧网络科技有限公司5
76中通服创发科技有限责任公司5
77北京华云安信息技术有限公司5
78厦门服云信息科技有限公司5
79烽台科技(北京)有限公司5
80内蒙古中叶信息技术有限责任公司5
81广东创科安全科技有限公司5
82三六零数字安全科技集团有限公司4
83上海矢安科技有限公司4
84北方实验室(沈阳)股份有限公司4
85北京神州绿盟科技有限公司4
86广州松杨云创科技有限公司4
87温州市数据集团有限公司4
88甘肃赛飞安全科技有限公司4
89河南听潮盛世信息技术有限公司4
90北京有略安全技术有限公司4
91杭州迪普科技股份有限公司4
92成都信息工程大学4
93杭州美创科技股份有限公司4
94东方电气中能工控网络安全技术(成都)
有限责任公司
3
95中乾建技术有限公司3
96亚信科技(成都)有限公司3
97山东正中信息技术股份有限公司3
98广州理是科技有限公司3
99泉州延陵信息技术有限公司3
100统信软件技术有限公司3
101北京卓识网安技术股份有限公司3
102山东维平信息安全测评技术有限公司3
103山西轩辕信息安全技术有限公司3
104北京云科安信科技有限公司3
105江苏保旺达软件技术有限公司3
106上海云盾信息技术有限公司2
107北京赛博昆仑科技有限公司2
108北京山石网科信息技术有限公司2
109广州理想资讯科技有限公司2
110甘肃丝路信安数字科技有限公司2
111浙江大华技术股份有限公司2
112南京众智维信息科技有限公司2
113杭州中电安科现代科技有限公司2
114杭州安恒信息技术股份有限公司2
115郑州埃文科技有限公司2
116北京安华金和科技有限公司2
117京铁云智慧物流科技有限公司2
118永信至诚科技集团股份有限公司2
119江苏正信信息安全测试有限公司2
120北京智游网安科技有限公司2
121北京源堡科技有限公司2
122北京威努特技术有限公司2
123长扬科技(北京)股份有限公司2
124贵州粟詈网络科技有限公司2
125上海戎磐网络科技有限公司1
126上海三零卫士信息安全有限公司1
127万宗网络科技(上海)有限公司1
128北京中睿天下信息技术有限公司1
129北京信联数安科技有限公司1
130宝鸡市阳光网络技术有限公司1
131信元网络技术股份有限公司1
132卫士通(广州)信息安全技术有限公司1
133浙江国利网安科技有限公司1
134西安安迈信科科技有限公司1
135西安极安盾信息科技有限公司1
136内蒙古奥创科技有限公司1
137内蒙古万邦信息安全技术有限公司1
138西安交大捷普网络科技有限公司1
139零日信安(武汉市)技术有限责任公司1
140福建省鲸之云盾网络科技有限公司1
141重庆白帽子科技有限公司1
142河北华测信息技术有限公司1
143北京数智久安科技有限公司1
144天地伟业技术有限公司1
145北京时代新威信息技术有限公司1
146中国移动通信集团海南有限公司1
147广州网为信息技术有限公司1
148深圳昂楷科技有限公司1
149中电信数智科技有限公司1
150中国科学院软件研究所1
151锐捷网络股份有限公司1
152云盾智慧安全科技有限公司1
153远江盛邦(北京)网络安全科技股份有限公司1
154深圳建安润星安全技术有限公司1
155赛尔网络有限公司1
156内蒙古迅如信息安全科技有限公司1
157内蒙古启正信息科技有限公司1
158中国电信股份有限公司网络安全产品运营中心1
159华易数安科技(吉林省)有限公司1
报送合计1905

漏洞通报情况

3.1 通报情况
2024年12月接报通报748个,详情情况如表5所示。

表5  2024年12月接报通报情况表

序号报送单位通报数量
1中孚安全技术有限公司60
2云南南天电子信息产业股份有限公司47
3奇安信网神信息技术(北京)股份有限公司46
4杭州迪普科技股份有限公司30
5宁波和利时信息安全研究院有限公司29
6华为技术有限公司25
7北京华云安信息技术有限公司25
8云南启安科技有限公司21
9北京边界无限科技有限公司18
10北京时代新威信息技术有限公司15
11广州网为信息技术有限公司14
12成都安美勤信息技术股份有限公司13
13北京神州绿盟科技有限公司13
14北京聚信得仁科技有限公司13
15道普信息技术有限公司13
16途耀信息技术(上海)有限公司12
17北京有略安全技术有限公司12
18工业和信息化部电子第五研究所11
19北京容辉智信科技有限公司11
20河南灵创电子科技有限公司9
21深信服科技股份有限公司9
22江苏网擎安全技术有限公司9
23内蒙古旌云科技有限公司9
24山东正中信息技术股份有限公司8
25华易数安科技(吉林省)有限公司8
26西安交大捷普网络科技有限公司8
27安徽三实软件科技有限公司8
28杰润鸿远(北京)科技有限公司8
29北京金睛云华科技有限公司8
30南京众智维信息科技有限公司8
31深圳市能信安科技股份有限公司8
32南京禾盾信息科技有限公司7
33甘肃丝路信安数字科技有限公司7
34河南东方云盾信息技术有限公司7
35上海计算机软件技术开发中心7
36北京安信天行科技有限公司6
37深圳市魔方安全科技有限公司6
38温州市数据集团有限公司6
39任子行网络技术股份有限公司6
40新华三技术有限公司6
41北京天融信网络安全技术有限公司6
42北京知道创宇信息技术股份有限公司6
43北京微步在线科技有限公司5
44维安(山东)数字技术有限公司5
45北方实验室(沈阳)股份有限公司5
46广州松杨云创科技有限公司5
47湖南中测网安信息技术有限公司5
48广州理想资讯科技有限公司5
49泉州延陵信息技术有限公司4
50亚信科技(成都)有限公司4
51深圳昂楷科技有限公司4
52北京安帝科技有限公司4
53中科方德软件有限公司4
54广东省信息安全测评中心4
55星舟有信(北京)信息技术有限公司4
56贵州蓝天创新科技有限公司4
57北京天下信安技术有限公司3
58北京中科卓信软件测评技术中心3
59成都网域探行科技有限公司3
60北京山石网科信息技术有限公司3
61塞讯信息技术(上海)有限公司3
62贵州粟詈网络科技有限公司3
63北京安天网络安全技术有限公司3
64广州纬安科技有限公司3
65北京威努特技术有限公司3
66杭州安恒信息技术股份有限公司3
67广州理是科技有限公司3
68北京天防安全科技有限公司3
69上海戟安科技有限公司2
70浙江齐安信息科技有限公司2
71长扬科技(北京)股份有限公司2
72深圳建安润星安全技术有限公司2
73宁夏凯信特信息科技有限公司2
74郑州埃文科技有限公司2
75浪潮电子信息产业股份有限公司2
76成都创信华通信息技术有限公司2
77云上广济(贵州)信息技术有限公司2
78北京国科数安科技有限公司2
79上海戎磐网络科技有限公司2
80北京赛博昆仑科技有限公司2
81浙江大华技术股份有限公司2
82江苏百达智慧网络科技有限公司2
83江苏正信信息安全测试有限公司1
84成都卫士通信息安全技术有限公司1
85云上广济(贵州)信息技术有限公司1
86京铁云智慧物流科技有限公司1
87北京长亭科技有限公司1
88北京雪诺科技有限公司1
89中国电信股份有限公司网络安全产品运营中心1
90锐捷网络股份有限公司1
91湖南省金盾信息安全等级保护评估中心有限公司1
92杭州海康威视数字技术股份有限公司1
93北京启明星辰信息安全技术有限公司1
94卫士通(广州)信息安全技术有限公司1
95北京中金安服科技有限公司1
96北京六方云信息技术有限公司1
97深圳市深信服信息安全有限公司1
98博智安全科技股份有限公司1
99北京信联数安科技有限公司1
100西安秦易信息技术有限公司1
101北京众安天下科技有限公司1
102杭州美创科技股份有限公司1
103上海云盾信息技术有限公司1
104上海谋乐网络科技有限公司1
105杭州默安科技有限公司1
106内蒙古洞明科技有限公司1
报送合计748

3.2 重要漏洞

表6  2024年12月重要漏洞表

序号漏洞名称CNNVD ID/CVE ID危害等级
1Apache MINA 安全漏洞CNNVD-202412-2747/
CVE-2024-52046
高危
2Apache Tomcat 安全漏洞CNNVD-202412-2256/
CVE-2024-50379
高危
3http4k 代码问题漏洞CNNVD-202412-1664/
CVE-2024-55875
超危
4Apache Struts 安全漏洞CNNVD-202412-1393/
CVE-2024-53677
超危

漏洞平台推送情况

2024年12月漏洞平台推送漏洞185314个。详情如表7所示。

表7  2024年12月漏洞平台推送情况表

序号漏洞平台漏洞总量
1补天平台79452
2漏洞盒子103347
3360漏洞云2515
推送总计185314

原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/3655.html

Like (1)
lishengli的头像lishengli
Previous 2025年1月14日
Next 2025年1月15日

相关推荐

发表回复

Please Login to Comment