信息安全漏洞月报(2025年1月)

admin
admin
admin
141928
文章
117
评论
2025年2月10日13:09:33评论262 views字数 6116阅读20分23秒阅读模式
信息安全漏洞月报(2025年1月)

信息安全漏洞月报(2025年1月)

点击蓝字 关注我们

信息安全漏洞月报(2025年1月)

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2025年1月采集安全漏洞共4268个。

本月接报漏洞1610个,其中信息技术产品漏洞(通用型漏洞)1031个,网络信息系统漏洞(事件型漏洞)579个。漏洞平台推送漏洞33579个。

重大漏洞通报

Fortinet FortiOS和FortiProxy 安全漏洞(CNNVD-202501-1747/ CVE-2024-55591):Fortinet FortiOS和FortiProxy存在安全漏洞,该漏洞源于包含一个身份验证绕过漏洞。远程攻击者利用该漏洞可以通过对Node.js websocket模块的精心设计请求获取超级管理员权限。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://fortiguard.fortinet.com/psirt/FG-IR-24-535

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,2025年1月新增安全漏洞共4268个,从厂商分布来看,WordPress漏洞数量最多,共发布1547个;从漏洞类型来看,跨站脚本漏洞占比最大,达到19.49%。本月新增漏洞中,超危漏洞245个、高危漏洞985个、中危漏洞2931个、低危漏洞107个,相应修复率分别为86.54%、84.78%、84.79%以及65.43%。合计3602个漏洞已有修复补丁发布,本月整体修复率84.40%。

  1.1 漏洞增长概况

2025年1月新增安全漏洞4268个,与上月(3361个)相比增加了26.99%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到3408个。

信息安全漏洞月报(2025年1月)

图1  2024年8月至2025年1月漏洞新增数量统计图

  1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2025年1月厂商漏洞数量分布情况如表1所示,WordPress漏洞达到1547个,占本月漏洞总量36.25%。

表1  2025年1月新增漏洞排名前十厂商统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress
1547
36.25%
2
Linux
231
5.41%
3
Microsoft
165
3.87%
4
IBM
113
2.65%
5
Apple
101
2.37%
6
Google
98
2.30%
7
Oracle
84
1.97%
8
Drupal
74
1.73%
9
睿因
62
1.45%
10
Fortinet
52
1.22%

1.2.2 漏洞类型分布

2025年1月漏洞类型分布情况如表2所示,其中跨站脚本类漏洞所占比例最大,约为19.49%。

表2  2025年1月漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
832
19.49%
2
跨站请求伪造
275
6.44%
3
代码问题
200
4.69%
4
SQL注入
124
2.91%
5
缓冲区错误
81
1.90%
6
注入
76
1.78%
7
代码注入
65
1.52%
8
路径遍历
48
1.13%
9
资源管理错误
42
0.98%
10
访问控制错误
38
0.89%
11
信息泄露
35
0.82%
12
输入验证错误
33
0.77%
13
操作系统命令注入
25
0.59%
14
命令注入
25
0.59%
15
授权问题
19
0.45%
16
日志信息泄露
19
0.45%
17
信任管理问题
12
0.28%
18
加密问题
8
0.19%
19
竞争条件问题
7
0.16%
20
数据伪造问题
6
0.14%
21
权限许可和访问控制问题
5
0.12%
22
后置链接
5
0.12%
23
数字错误
4
0.09%
24
安全特征问题
3
0.07%
25
参数注入
1
0.02%
26
环境问题
1
0.02%

1.2.3 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低分为四个等级:超危、高危、中危和低危。2025年1月漏洞危害等级分布情况如图2所示,其中超危漏洞245个,占本月漏洞总量5.74%。

信息安全漏洞月报(2025年1月)

图2  2025年1月漏洞危害等级分布图

  1.3漏洞修复情况

1.3.1 整体修复情况

2025年1月各危害等级修复情况如图3所示,低危漏洞修复率最高,为86.54%,超危漏洞修复率最低,为65.43%。

总体来看,本月整体修复率由上月的85.13%下降至本月的84.40%。

信息安全漏洞月报(2025年1月)

图3  2025年1月各危害等级修复情况统计图

1.3.2 厂商修复情况

2025年1月新增漏洞数量排名前十厂商修复情况如表3所示,合计2527个漏洞,占本月漏洞总量59.21%,平均修复率为99.32%。

表3  2025年1月厂商修复情况统计表
序号
厂商名称
漏洞数量(个)
修复数量(个)
修复率
1
WordPress
1547
1472
95.16%
2
Linux
231
231
100.00%
3
Microsoft
165
165
100.00%
4
IBM
113
113
100.00%
5
Apple
101
101
100.00%
6
Google
98
96
97.96%
7
Oracle
84
84
100.00%
8
Drupal
74
74
100.00%
9
睿因
62
62
100.00%
10
Fortinet
52
52
100.00%

接报漏洞情况

2025年1月接报漏洞1610个,其中信息技术产品漏洞(通用型漏洞)1031个,网络信息系统漏洞(事件型漏洞)579个。详情如表4所示。

表4  2025年1月接报漏洞情况表

序号
报送单位
漏洞数量
1
内蒙古数字安全科技有限公司
461
2
个人
181
3
西宁惠康电子有限公司
79
4
内蒙古旌云科技有限公司
75
5
超聚变数字技术有限公司
75
6
华为技术有限公司
35
7
北京天融信网络安全技术有限公司
33
8
北京天下信安技术有限公司
30
9
北京航空航天大学
27
10
成都创信华通信息技术有限公司
25
11
内蒙古思沃科技有限公司
24
12
北京长亭科技有限公司
24
13
星云博创科技有限公司
22
14
北京安信天行科技有限公司
21
15
北京启明星辰信息安全技术有限公司
19
16
北京云科安信科技有限公司
17
17
奇安信网神信息技术(北京)股份有限公司
16
18
广州竞远安全技术股份有限公司
15
19
道普信息技术有限公司
15
20
成都安美勤信息技术股份有限公司
14
21
深信服科技股份有限公司
14
22
苏州棱镜七彩信息科技有限公司
13
23
科来网络技术股份有限公司
13
24
亚信科技(成都)有限公司
11
25
北京雪诺科技有限公司
11
26
北京安帝科技有限公司
10
27
南京聚铭网络科技有限公司
10
28
网宿科技股份有限公司
10
29
北京安普诺信息技术有限公司
9
30
南京赛宁信息技术有限公司
9
31
杭州美创科技股份有限公司
9
32
中电智安科技有限公司
8
33
成都卫士通信息安全技术有限公司
8
34
途耀信息技术(上海)有限公司
8
35
广州非凡信息安全技术有限公司
8
36
丽水市宏志数码科技有限公司
7
37
北京微步在线科技有限公司
7
38
杭州迪普科技股份有限公司
7
39
北京艾阿无限科技有限公司
6
40
安恒愿景(成都)信息科技有限公司
6
41
上海三零卫士信息安全有限公司
5
42
中国银联股份有限公司
5
43
北京中金安服科技有限公司
5
44
北京寰宇天穹信息技术有限公司
5
45
北方实验室(沈阳)股份有限公司
5
46
黑龙江智泽测评科技有限公司
5
47
湖南泛联新安信息科技有限公司
5
48
新华三技术有限公司
5
49
永信至诚科技集团股份有限公司
5
50
杭州安恒信息技术股份有限公司
5
51
湖南安服信息技术有限公司
5
52
西安交大捷普网络科技有限公司
5
53
北京智游网安科技有限公司
5
54
浙江宇视科技有限公司
5
55
上海谋乐网络科技有限公司
4
56
中资网络信息安全科技有限公司
4
57
上海煜安华信息安全技术有限公司
4
58
北京众安天下科技有限公司
4
59
北京山石网科信息技术有限公司
4
60
山东维平信息安全测评技术有限公司
4
61
沈阳禾信智安信息技术有限公司
4
62
浙江极安信息科技有限公司
4
63
江苏君立华域信息安全技术股份有限公司
4
64
烽台科技(北京)有限公司
4
65
西安安迈信科科技有限公司
4
66
上海今点软件有限公司
3
67
上海螣龙科技有限公司
3
68
内蒙古信息系统安全等级测评中心
3
69
上海戎磐网络科技有限公司
3
70
三六零数字安全科技集团有限公司
3
71
信飛科技有限公司
3
72
四川汉安数智科技有限公司
3
73
北京门石信息技术有限公司
3
74
北京五一嘉峪科技有限公司
3
75
卫士通(广州)信息安全技术有限公司
3
76
内蒙古洞明科技有限公司
3
77
塞讯信息技术(上海)有限公司
3
78
四维创智(北京)科技发展有限公司
3
79
江苏国保信息系统测评中心有限公司
3
80
内蒙古中叶信息技术有限责任公司
2
81
万宗网络科技(上海)有限公司
2
82
京东科技信息技术有限公司
2
83
中科数测固源科技(安徽)有限公司
2
84
江苏百达智慧网络科技有限公司
2
85
苏州如意云网络科技有限公司
2
86
江苏保旺达软件技术有限公司
2
87
西安四叶草信息技术有限公司
2
88
天津市兴先道科技有限公司
2
89
浪潮电子信息产业股份有限公司
2
90
成都思维世纪科技有限责任公司
2
91
江苏正信信息安全测试有限公司
2
92
赛尔网络有限公司
2
93
河南灵创电子科技有限公司
2
94
中乾建技术有限公司
1
95
内蒙古奥创科技有限公司
1
96
上海云盾信息技术有限公司
1
97
中电信数智科技有限公司
1
98
上海计算机软件技术开发中心
1
99
北京信联数安科技有限公司
1
100
华易数安科技(吉林省)有限公司
1
101
重庆梦之想科技有限责任公司
1
102
北京数智久安科技有限公司
1
103
南京南瑞信息通信科技有限公司
1
104
国网思极检测技术(北京)有限公司
1
105
广西网信信息技术有限公司
1
106
山东新潮信息技术有限公司
1
107
联通数字科技有限公司
1
108
浙江国利网安科技有限公司
1
109
杭州海康威视数字技术股份有限公司
1
110
北京容辉智信科技有限公司
1
111
北京安博通科技股份有限公司
1
112
北京有略安全技术有限公司
1
113
北京天防安全科技有限公司
1
114
博智安全科技股份有限公司
1
115
北京时代新威信息技术有限公司
1
116
广州纬安科技有限公司
1
117
金盾检测技术股份有限公司
1
118
北京墨云科技有限公司
1
119
广东创科安全科技有限公司
1
120
广东省信息安全测评中心
1
121
锐捷网络股份有限公司
1
122
贵州多彩网安科技有限公司
1
123
北京安华金和科技有限公司
1
124
长扬科技(北京)股份有限公司
1
125
长沙中格创新科技有限公司
1
126
南京众智维信息科技有限公司
1
127
沥泉科技(成都)有限公司
1
报送合计
1610

漏洞通报情况

  3.1通报情况

2025年1月接报通报633个,详情情况如表5所示。

表5  2025年1月接报通报情况表
序号
报送单位
通报数量
1
中孚安全技术有限公司
64
2
奇安信网神信息技术(北京)股份有限公司
53
3
上海安几科技有限公司
38
4
超聚变数字技术有限公司
34
5
杭州迪普科技股份有限公司
30
6
北京金睛云华科技有限公司
29
7
华为技术有限公司
26
8
浙江宇视科技有限公司
23
9
南京禾盾信息科技有限公司
13
10
江苏正信信息安全测试有限公司
13
11
北京神州绿盟科技有限公司
12
12
内蒙古旌云科技有限公司
12
13
上海雾见安全科技有限公司
12
14
山东维平信息安全测评技术有限公司
11
15
深信服科技股份有限公司
9
16
杭州安恒信息技术股份有限公司
9
17
北京数智久安科技有限公司
9
18
湖南泛联新安信息科技有限公司
9
19
北京门石信息技术有限公司
8
20
重庆梦之想科技有限责任公司
8
21
西安交大捷普网络科技有限公司
8
22
北京安帝科技有限公司
7
23
统信软件技术有限公司
7
24
丽水市宏志数码科技有限公司
7
25
北京天下信安技术有限公司
6
26
北方实验室(沈阳)股份有限公司
6
27
成都安美勤信息技术股份有限公司
6
28
南京聚铭网络科技有限公司
6
29
上海戎磐网络科技有限公司
5
30
道普信息技术有限公司
5
31
沈阳禾信智安信息技术有限公司
5
32
北京华云安信息技术有限公司
5
33
北京云科安信科技有限公司
4
34
湖南安服信息技术有限公司
4
35
北京天融信网络安全技术有限公司
4
36
锐捷网络股份有限公司
4
37
北京安天网络安全技术有限公司
4
38
浙江齐安信息科技有限公司
4
39
北京威努特技术有限公司
4
40
长扬科技(北京)股份有限公司
4
41
新华三技术有限公司
4
42
上海戟安科技有限公司
4
43
广州非凡信息安全技术有限公司
4
44
华易数安科技(吉林省)有限公司
4
45
中国电信股份有限公司网络安全产品运营中心
4
46
北京智游网安科技有限公司
3
47
北京山石网科信息技术有限公司
3
48
烽台科技(北京)有限公司
3
49
成都创信华通信息技术有限公司
3
50
信飛科技有限公司
3
51
苏州如意云网络科技有限公司
3
52
上海计算机软件技术开发中心
3
53
天津展望互联网络安全系统技术开发有限公司
3
54
北京安信天行科技有限公司
3
55
深圳市深信服信息安全有限公司
3
56
北京中金安服科技有限公司
3
57
成都网域探行科技有限公司
3
58
深圳昂楷科技有限公司
2
59
黑龙江智泽测评科技有限公司
2
60
中科方德软件有限公司
2
61
河南灵创电子科技有限公司
2
62
山西轩辕信息安全技术有限公司
2
63
贵州蓝天创新科技有限公司
2
64
杭州榕数科技有限公司
2
65
贵州粟詈网络科技有限公司
2
66
苏州棱镜七彩信息科技有限公司
2
67
中电智安科技有限公司
2
68
北京长亭科技有限公司
2
69
途耀信息技术(上海)有限公司
2
70
沥泉科技(成都)有限公司
2
71
远江盛邦(北京)网络安全科技股份有限公司
2
72
亚信科技(成都)有限公司
1
73
北京国科数安科技有限公司
1
74
杭州海康威视数字技术股份有限公司
1
75
北京知道创宇信息技术股份有限公司
1
76
上海今点软件有限公司
1
77
郑州埃文科技有限公司
1
78
广东省信息安全测评中心
1
79
浪潮电子信息产业股份有限公司
1
80
广东创科安全科技有限公司
1
81
温州市数据集团有限公司
1
82
江苏网擎安全技术有限公司
1
83
卫士通(广州)信息安全技术有限公司
1
84
北京信联数安科技有限公司
1
85
京铁云智慧物流科技有限公司
1
86
河南听潮盛世信息技术有限公司
1
87
北京五一嘉峪科技有限公司
1
88
广州松杨云创科技有限公司
1
89
工业和信息化部电子第五研究所
1
90
泉州延陵信息技术有限公司
1
91
北京有略安全技术有限公司
1
92
北京启明星辰信息安全技术有限公司
1
93
北京时代新威信息技术有限公司
1
报送合计
633

  3.2 重要漏洞

表6  2025年1月重要漏洞表

序号
漏洞名称
CNNVD ID/CVE ID
危害等级
1
Microsoft Office
代码问题漏洞
CNNVD-202501-1997/
CVE-2025-21365
高危
2
Microsoft OLE
资源管理错误漏洞
CNNVD-202501-1944/
CVE-2025-21298
超危
3
Fortinet FortiOS和FortiProxy 安全漏洞
CNNVD-202501-1747/
CVE-2024-55591
超危
4
Ivanti安全漏洞
CNNVD-202501-1034/
CVE-2025-0282
超危
5
Aviatrix Controller 操作系统命令注入漏洞
CNNVD-202501-901/
CVE-2024-50603
超危

漏洞平台推送情况

2025年1月漏洞平台推送漏洞33579个。详情如表7所示。

表7  2025年1月漏洞平台推送情况表
序号
漏洞平台
漏洞总量
1
补天平台
1698
2
漏洞盒子
26814
3
360漏洞云
5067
推送总计
33579
信息安全漏洞月报(2025年1月)

原文始发于微信公众号(CNNVD安全动态):信息安全漏洞月报(2025年1月)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月10日13:09:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全漏洞月报(2025年1月)https://cn-sec.com/archives/3721884.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息