Ngày 6 tháng 1 năm 2025, nhà nghiên cứu bảo mật Jerry Gamblin đã công bố báo cáo đánh giá dữ liệu CVE hàng năm. Trong năm 2024, số lượng các lỗ hổng bảo mật được công bố đã đạt mức cao kỷ lục với hơn 40.000 CVE, tăng 38% so với năm 2023. Đây là năm thứ bảy liên tiếp chứng kiến sự gia tăng mạnh mẽ về số lượng các lỗ hổng này.
Trong suốt năm 2024, trung bình mỗi ngày có khoảng 108 CVEs được công bố, với thứ Ba là ngày có số lượng lỗ hổng được công bố nhiều nhất, chiếm đến 24,3% tổng số CVEs trong năm. Tháng 5 là tháng có số lượng CVEs cao nhất, lên tới 5.010, và đặc biệt là ngày 3 tháng 5, khi có đến 845 lỗ hổng được phát hiện.
Như vậy, năm 2024 đã ghi nhận một trong những mức tăng trưởng lớn nhất trong lịch sử, với hơn 15% tổng số CVEs được công bố trong suốt năm vừa qua.
Điểm số trung bình của các CVEs trong năm 2024 theo hệ thống CVSS (Common Vulnerability Scoring System) là 6.67, cho thấy phần lớn các lỗ hổng có mức độ nghiêm trọng từ trung bình đến cao.
Đặc biệt, có 231 lỗ hổng đạt điểm 10.0, mức cao nhất trong hệ thống CVSS, đồng nghĩa với những mối đe dọa nghiêm trọng cho hệ thống bảo mật. Trong khi đó, một số CVEs như CVE-2024-2365 có điểm rất thấp (CVSS: 1.6).
Một trong những CVE đáng chú ý trong năm 2024 là CVE-2024-20433, liên quan đến tính năng Resource Reservation Protocol (RSVP) trong phần mềm Cisco IOS và IOS XE. Lỗ hổng này ảnh hưởng đến hơn 2.400 cấu hình hệ thống khác nhau.
Một vấn đề đáng chú ý là 15,73% các CVEs trong năm 2024 không có dữ liệu liên quan đến CWE (Common Weakness Enumeration), cho thấy vẫn còn thiếu sót trong việc phân loại các lỗ hổng này. Trong số các điểm yếu phổ biến, CWE-79, liên quan đến lỗ hổng cross-site scripting (XSS), vẫn là lỗ hổng được gán nhiều nhất, chiếm 15,56% tổng số CVE.
