2025年漏洞统计报告附下载

原创 很近也很远 网络研究观 2025-05-18 09:27

我们的 2025 年报告比以往任何时候都更深入地探讨了安全专业人员关注的关键指标。我们探索了跨网络/设备和应用层的风险密度模式，发现了自动化工具经常遗漏的复杂漏洞，并评估了当今领先的漏洞评分方法（包括 EPSS、CISA KEV、CVSS 以及我们专有的 EVSS 系统）的实际有效性。

今年的调查结果显示，各行业在漏洞修复效率方面存在显著差异，软件公司的平均修复时间最快（63天），而建筑行业则明显滞后（104天）。

我们还发现了漏洞管理中令人担忧的模式：大型企业在12个月内有45.4%的已发现漏洞未得到解决，主要集中在网络/设备层。

2025 年报告的主要发现包括：
– 在整个堆栈中，超过 33% 的已发现漏洞属于严重或高危漏洞
– SQL 注入 (CWE-89) 仍然是最常见的关键 Web 应用程序漏洞，并且自 2022 年以来一直保持这一趋势
– 应用程序/API：高/严重严重程度：平均 MTTR 74.3 天设备/网络漏洞：高/严重严重程度：平均 MTTR 54.8 天
– 2024 年，共发布了 40,009 个常见漏洞和暴露 (CVE)，创历史新高
– 截至 2024 年底，CISA 已知可利用漏洞 (KEV) 目录包含 1,238 个漏洞，其中 185 个是当年新增的
– 2024 年，有 768 个 CVE 首次被公开报告为在野外被利用，占所有已发现漏洞的 2%，比2023 年增加了 20%
Edgescan 漏洞统计报告概述

自2015年以来，Edgescan每年都会发布《 漏洞统计报告》，提供全球网络安全状况的概览。

该报告通过回顾上一年12个月的数据，对网络安全趋势和统计数据进行深入分析，涵盖网络威胁、数据泄露和网络攻击。

报告每年都会提供一个统计模型，以信息图表的形式呈现企业面临的最常见漏洞，以便企业能够基于数据做出决策，从而更有效地管理风险和暴露。

这份年度报告已成为了解全球漏洞管理现状的可靠来源 。

我们独特的数据集是Verizon 数据泄露报告 (DBIR)的一部分，这便是例证。DBIR 是洞察当今事件和漏洞常见驱动因素的事实上的标准。

数据收集方法

Edgescan 漏洞统计报告所分析的漏洞数据是从对数百万资产执行的数千次安全评估和渗透测试中收集的；这些不断增长的情报存储在我们的数据湖中，并在构成 Edgescan 平台的解决方案之间共享。

漏洞数据来源于 30 个垂直行业的 250 多家各种规模的公司，包括财富 500 强企业和中小型企业。

PDF文件下载地址：

https://info.edgescan.com/hubfs/23DOWNLOADABLE%20CONTENT/Vulnerability%20Statistics%20Reports/Edgescan_VulnerabilityStatsReport_2025.pdf