随着网络空间应用的普及，网络安全面临的挑战也日益复杂且严峻。安恒研究院基于对2024年度漏洞数据的全面统计与深入分析，倾力推出《2024年度漏洞态势分析报告》（以下简称“报告”）。该漏洞报告全面回顾全年漏洞数据的关键特征，全方位解析网络漏洞的发展趋势以及潜在风险点。

2024年度漏洞数据统计与分析

报告从主流漏洞库入手，对公开披露的漏洞数据进行系统梳理，包括总体数量、各危害等级漏洞数据统计、厂商分布等内容，揭示漏洞数量的变化趋势，以及漏洞等级分布情况、漏洞产生原因以及漏洞背后可能带来的安全隐患。

已公开披露漏洞数据等级分布

通过对漏洞产生原因数据的统计与分析，安恒研究院发现随着软件系统复杂性和规模的增加，安全问题会更多地出现在设计阶段，设计错误的比例可能进一步上升。

2024年度漏洞产生原因分布（注：数据来源CNVD）

从上述漏洞产生原因分布图中可以得出设计阶段问题占主导，设计错误占比高反映出系统在早期设计阶段缺乏全面考量，导致系统开发阶段未对安全问题进行重视出现较多漏洞。

其次输入问题较多，开发人员在编码过程中对用户输入缺乏严格处理，而这类输入问题漏洞通常是攻击者的突破口。报告在基于这些已公开披露的漏洞数据的基础上，对未来可能面临的网络安全风险点进行了预测与漏洞趋势分析。

2024年度CWE排行榜解读

报告中对2024年度CWE Top25榜单进行了深度解读，从各漏洞类型的排名浮动出发，对当下网络安全的威胁分布进行了详尽分析。

2024年度CWE Top25排行榜单

2024年度漏洞预警回顾

报告对安恒信息CERT2024年度漏洞预警数据进行回顾与统计，并从中提取出年度严重漏洞。

1.GitLab存在任意密码重置漏洞（CVE-2023-7028|DM-202312-003214）

用户帐户密码重置电子邮件可以发送到未经验证的电子邮件地址，攻击者可将重置帐户密码的邮件发送到未经验证的邮箱，在无需用户交互的情况下通过密码重置进行帐户接管。

2.GeoServer存在远程代码执行漏洞（CVE-2024-36401|DM-202405-004663）

由于不安全地将属性名称评估为XPath表达式，多个OGC请求参数允许未经身份验证的用户通过针对默认 GeoServer 安装的特制输入执行任意代码。

3.VMware vCenter Server堆溢出漏洞（CVE-2024-37079|DM-202406-000059）

具有vCenter Server网络访问权限的攻击者能够通过发送特制的数据包来触发该漏洞，从而可能导致远程代码执行。

......

基于上述数据对预警漏洞类型的分布进行统计与趋势预测，并总结了未来需要着重关注的漏洞利用类型。

2024年攻防演练高危漏洞回顾

2024年攻防演练期间，安恒信息CERT对在野漏洞进行了全面监测，新增在野漏洞档案共计227条，其中一级漏洞档案114条，二级漏洞档案111条，经研判后，累计对111个漏洞发布漏洞预警，报告基于上述数据整理了2024年度攻防演练期间常见的漏洞类型分布概况。

2024年度攻防演练在野漏洞预警类型分布

AI安全隐患与未来趋势分析

近年来，人工智能技术以飞快的步伐不断进步，以大模型为基础的各种技术应用的兴起，也为计算机安全领域带来了诸多新的风险和挑战，模型安全性也因此成为了人工智能安全的关键构成部分。

本报告对2024年度较为高危的LLM漏洞进行了整理，并对OWASP LLM Top10安全威胁展开详尽解读与举例，罗列了LLM应用过程中可能面临的风险场景，并给出了可靠的LLM安全治理框架建设建议供用户参考。

OWASP Top10排行