2025年漏洞趋势分析报告_第1页
2025年漏洞趋势分析报告_第2页
2025年漏洞趋势分析报告_第3页
2025年漏洞趋势分析报告_第4页
2025年漏洞趋势分析报告_第5页
已阅读5页,还剩36页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

2025年漏洞趋势分析报告前言随着全球数字化转型的持续推进与人工智能技术的深度融合,2025

年的网络安全形势呈现出更为复杂的攻防对抗格局。大模型基础设施的广泛部署与云原生的全面普及,在释放巨大生产力的同时,也构建了前所未有的攻击暴露面。漏洞作为网络攻防的核心焦点,其发现速度、利用效率与影响范围均达到新的历史高度。本报告旨在系统性回顾

2025

年全球网络安全漏洞态势,通过对漏洞披露数据、国内外

0day

漏洞在野利用趋势以及开源软件供应链风险的深度剖析,揭示攻击技术的演进逻辑与防御体系的转型方向。报告涵盖全年漏洞总量统计、KEV(已知被利用漏洞)

目录分析、年度五大热点漏洞深度分析复盘、全球及国产化场景

0day

漏洞趋势、AI

驱动的漏洞挖掘与防御模式,

以及开源软件与LLM供应链安全等维度。我们希望通过本报告,为安全从业者、企业安全决策者及监管机构提供数据驱动的漏洞趋势洞察,助力构建从被动响应向主动防御、从单点修补向体系化治理演进的新型安全能力,

以应对日益智能化、体系化的网络威胁。目

···

·

·

·

·

····录

声明 漏洞态势总体分析01

安全漏洞态势

01 漏洞公开披露情况

01

漏洞利用情况

02

年度热点漏洞深度剖析

04.React/Next.js远程代码执行漏洞(CVE-2025-55182)

04某国产报表SQL注入漏洞

09某国产应用服务器远程代码执行漏洞

12ApacheTomcat远程代码执行漏洞(CVE-2025-24813)

14Palo

AltoNetworksPAN-OS身份验证绕过漏洞(CVE-2025-0108)

18 0day漏洞趋势总体分析21

全球0day漏洞在野利用态势

21

国产化场景0day漏洞趋势分析

23

0day漏洞防御与应对趋势

24构建主动安全体系(威胁狩猎能力)

24AI驱动的自动化漏洞挖掘

25C

N

T

E

N

T

前言

开源软件与供应链安全趋势分析

开源软件安全现状

开源软件漏洞案例

React远程代码执行漏洞(CVE-2025-55182)

ApacheTomcat远程代码执行漏洞(CVE-2025-24813)

Linuxsudo本地提权漏洞(CVE-2025-32463)

新兴风险与攻击模式

深信服AI安全运营方案

方案架构

AI安全运营方案总体能力介绍

实践案例

总结

参考链接27272929303031343435353637漏洞态势总体分析图1-1近十年漏洞披露情况2025年,网络安全漏洞的发现与披露继续在高位运行。截至年底,国家信息安全漏洞库(CNNVD)全年收录漏洞48367条,美国国家漏洞库(NVD)收录41382条,两者均达到观测期内的历史最高水平。2016

年至2025

年,全球网络安全漏洞的公开披露数量保持增长趋势。根据美国国家漏洞库(NVD)和中国国家信息安全漏洞库(CNNVD)的统计,近十年两大漏洞库的年度收录数量变化如图1-1所示。从整体趋势看,漏洞数量在前期平稳增长,而在2023年后增速明显加快。

安全漏洞态势4004328693266982083019049

漏洞公开披露情况2025年漏洞趋势分析报告01500004000030000200001000002021

2022CNNVD(个)2019NVD(个)483676000017859163081468420202023202420252016201720188622

已知被利用漏洞情况2025

年,

KEV(已知被利用漏洞)目录作为全球漏洞修复优先级的关键指导,其权威性与影响力持续巩固。该目录遵循严格的收录原则,并因其被确立为美国联邦机构的强制性修复基准,

已成为全球公认的威胁优先级事实标准参考。其核心价值在于将有限的防御资源精准导向已被在野利用的漏洞,从而系统化提升安全运营效率。持续的运营实践验证了这一基于风险的治理模式的有效性。该目录通过聚焦于已验证在野利用的漏洞,为各类组织提供了清晰的行动优先级。CISA指出,遵循KEV

目录开展漏洞修复,其修复时间中位数远短于非KEV

目录漏洞,修复速度快约3.5倍,修复效率提升显著。截至2025年底,

KEV

目录累计收录的漏洞总量已达

1338个。历史数据显示,遵循该目录能有效引导全球海量组织的修复工作,并大幅缩短高危漏洞的暴露周期。

近十年漏洞利用情况(一)数量趋势聚焦于近十年(2016-2025

年)的漏洞收录与利用趋势(如图

1-2

所示),KEV目录每年收录的漏洞数量呈现明显的阶段性变化。年度收录数量在

2021

年达到峰值(208

个)后,于

2022

年有所回落,随后在

2023

2025

年间保持在高位平稳波动。与此同时,

已知被勒索软件利用的漏洞数量变化趋势与整体基本一致。其高峰同样出现在

2021

年(58

个),此后总体呈下降趋势。2025年,

KEV

目录中当年新收录并被确认由勒索软件利用的漏洞为

16个。这一趋势表明,在勒索软件全球打击行动与强制性修复政策的双重作用下,勒索软件利用漏洞的活动强度受到一定制约。15162016201720182019202020212022202320242025

0220225年漏洞趋势2年告漏洞趋势分析报告250200150100500、

漏洞利用情况KEV收录漏洞各年披露数量(个)勒索利用漏洞各年披露数量(个)1563014411759

58158129图1-2KEV目录中近十年漏洞利用情况322020815737343585887160140120806040200Windows

MultipleProducts

2016至2018年.

2019至2022年2023至2025年300280250200150100500

23

128433776716223020256MicrosoftAppleCiscoGoogle总数(个)I

I

IApache

Adobe

Ivanti

VMware

近三年增长个数(个)OracleFortinet(二)受影响厂商和产品情况根据近十年KEV

目录收录的1301个漏洞分析,受影响厂商排行前十情况如图1-3所示。2025年,

KEV

目录新增收录漏洞157个,

Microsoft和Apple的漏洞最多,

Microsoft

的漏洞高度集中于Windows操作系统;而Apple的漏洞中,有相当一部分会同时影响其旗下的多个产品(如iOS、macOS等)。从漏洞收录的时段分布来看,各厂商面临的主要风险态势呈现明显差异。

Microsoft在近十年历史数据中累计被利用漏洞数

高(280

个),且

86

个。进

年(2023-2025

年)的

现:Apple、Google、Ivanti在此期间新增显著,显示出针对这些产品的漏洞利用活动正变得活跃。2025年漏洞趋势分析报告03Win32k

InternetExplorerKernel

FlashPlayerOffice

ExchangeServerIOSandIOS

XE

SoftwareChromiumV8图1-4影响产品分布图1-3影响厂商排行353026861299根据对近十年产品维度漏洞利用数据的分析(如图

1-4

所示),攻击态势呈现出清晰的演进脉络:威胁焦点已系统性完成从广泛的历史技术遗产向现代核心数字基石的迁移,并正朝着复杂化与体系化的高级阶段发展。具体表现为,随着AdobeFlash

Player、旧版Internet

Explorer等历史技术的淘汰,相关漏洞利用已逐渐淡出;而攻击重心则牢固锁定

Windows等核心操作系统与能够同时影响多款产品的漏洞,这标志着攻击活动正从针对单一目标,转向利用可扩大攻击面的共享技术或组件。更深层次的演变在于攻击模式的复杂化与底层化。一方面,攻击链条日趋复杂,供应链漏洞利用事件的显著增加,表明单次攻击往往横跨多个组件。另

方面,攻击深度向系统底层渗透,针对操作系统内核的利用持续存在,

同时针对Microsoft

Exchange

Server

等高价值系统的定向打击凸显了攻击的精准性。这些变化共同表明,攻击者正通过固守核心、拉长链条与深化权限,

系统性地提升攻击效能。应对这一威胁,

防御思路必须从单一漏洞修补,转向构建覆盖核心资产、供应链并能阻断复杂攻击链的体系化防护能力。漏洞名称:React/Next.js远程代码执行漏洞漏洞编号:CVE-2025-55182漏洞类型:远程代码执行CVSS评分:10.0漏洞危害等级:

严重

漏洞描述在Next.js的

App

Router

架构中,由于未对经React

Flight协议传输的序列化

JSON

对象进行安全校验,导致在RSC(React

Server

Components,版本19.0.0至19.2.0

版本

)

反序列化了客户端由

Flight

协议传入的带有原型污染的序列化负载对象,最终在服务端触发JavaScript远程命令执行。

年度热点漏洞深度剖析.

React/Next.js远程代码执行漏洞(CVE-2025-55182)

0420245年漏洞趋势2年告漏洞趋势分析报告

漏洞介绍

漏洞影响2025年12月3

日,React团队公开披露了编号为CVE-2025-55182

的严重安全漏洞,该漏洞为CVSS评分高达

10.0

的满分漏洞,

可见该漏洞具有危害范围广、攻击门槛低、利用效果直接且破坏性极强的显著特征。无需特定业务逻辑、无需用户交互、无需复杂前置条件,攻击者仅需向暴露的RSC接口发送精心构造的请求,即可在服务器端执行任意代码。从影响对象来看,该漏洞并非局限于单一产品或组件,而是横向波及整个现代前端框架生态,

安全影响呈现出明显的“链式放大效应”。由于Next.js、React

Server

Components已成为主流Web应用的基础架构,大量互联网业务系统在不知情的情况下处于高风险暴露状态。据Shadowserver的统计,超过77,000个IP地址易受此漏洞影响。全球受影响域名数量超过644,000个,近39%的云环境可能包含易受该漏洞影响的实例。受影响资产类型覆盖科研,医疗,金融,政府和公共部门等重要行业领域。一旦漏洞被成功利用,攻击者可直接获取

Web服务的执行权限,进一步实施后门植入、恶意程序投放、横向移动、云资源滥用甚至供应链攻击,对业务系统的机密性、完整性和可用性造成毁灭性影响。

影响版本以

的19.0.0、19.1.0、19.1.1及19.2.0版

洞:

react-server-dom-parcel、react-server-dom-webpack、react-server-dom-turbopack。由于上述软件包被多款主流框架及打包工具嵌入或依赖,其影响范围进一步扩大,其中Next.js受影响版本覆盖14.x(高于

14.3.0-canary.77)、15.0.x(低于

15.0.5)、15.1.x(低于

15.1.9)、15.2.x(低于

15.2.6)、15.3.x(低于

15.3.6)、15.4.x(低于15.4.8)、15.5.x(低

于15.5.7)、16.0.x(低

于16.0.7)以

Vite、Parcel、ReactRouter、RedwoodSDK、Waku等支持React服务器组件实现的框架与插件。

漏洞分析环境:Dify(1.10.0)对于

Dify我们发送一个请求,会先过一下中间件文件

middleware.ts(以下分析忽略)。走完中间件后,就发送到

Next.jsServer

Actions处理。当数据传入Next.js后端,首先看到函数handleAction进行请求的处理:2025年漏洞趋势分析报告05这里的

_serveractionrequestmeta.getServerActionRequestMetadata位置在

server-action-request-meta.js

会获取请求中的一些元数据(如下图)此时处理好元数据之后,如果判断可能是一个

Server

Action

请求就会继续往下执行,否则直接返回

null。直接看下面比较关键的代码环节:

0620265年漏洞趋势2年告漏洞趋势分析报告然后这里可以看到从react-server.node.js模块导入几个关键的函数,包括decodeReplyFromBusboy。接着看下面代码流程,可见先判断上述获取的元数据isMultipartAction(Content-Type:

multipart/form-data),且为FetchAction,最后将获取到的表单数据传入decodeReplyFromBusboy,这个反序列化引擎的主入口。2025年漏洞趋势分析报告07》》》function

decodeReplyFromBusboy<T>(busboyStream:Busboy,webpackMap:ServerManifest,options?:{temporaryReferences?:TemporaryReferenceSet},):Thenable<T>{const

response=createResponse(//创建Response对象webpackMap,'',options?options.temporaryReferences:undefined,);.......busboyStream.on('finish',()=>{close(response);});busboyStream.on('error',err=>{reportGlobalError(response,//$FlowFixMe[incompatible-call]types

Error

and

mixed

are

incompatibleerr,);});return

getRoot(response);}到这里的位置,处理会经过以下两个关键步骤:第1步:创建响应流response=createResponse函数被调用,它基于busboy直接解析请求流,后面实现流式反序列化。第2步:获取根节点,触发解析getRoot(response)是触发整个反序列化过程的关键调用。它会从响应流中读取并解析根模型。React

Flight协议的原型链污染漏洞,源于其数据解析机制中的安全缺陷。协议在处理冒号分隔的路径进行嵌套属性访问时,直

使

用value[path[i]]进

访

问,缺

证。攻

如$0:___proto___:then或$0:constructor:constructor,可实现原型链污染,进而访问Chunk.prototype.then方法或Function构造函数。同时结合$B特殊值处理器,攻击者能将response._formData.get()调用重定向到恶意函数,最终实现任意代码执行。该漏洞的核心是路径解析与原型访问的无限制组合,暴露了反序列化过程中的重大安全隐患。

08

2025年漏洞趋势分析报告

漏洞修复Nextjs升级到安全版本+

Next.js15.x->15.0.5++

Next.js16.x->16.0.7+ReactServerComponents修复版本:+

react-server-dom-webpack:19.0.1,19.1.2,19.2.1+

react-server-dom-parcel:19.0.1,19.1.2,19.2.1+

react-server-dom-turbopack:19.0.1,19.1.2,19.2.1React官方修复通告及补丁说明:https://react

.

dev

/blog

/2025/12/03/

critical

-security-vu

lner

abi

-lity-in-react-server-componentsNextjs团队修复通告及补丁说明:/blog/CVE-2025-66478

漏洞描述某国产报表的大数据集导出插件,存在SQL注入漏洞,攻击者通过export/excel接口构造恶意的SQL

代码,通过导出文件写入Webshell,进而获取服务器权限。

漏洞影响漏洞

CVSS3.1评分高达9.8,表明该漏洞具有攻击门槛低、利用可能性高、破坏性强等显著特征。攻击者可通过构造恶意SQL语句触发导出功能,绕过正常逻辑,在受影响服务器上写入WebShell并实现远程代码执行,从而获取服务器权限并完全控制系统。报表系统在企业级数据分析中广泛应用,

影响资产分布在多个行业关键业务系统,其利用可能性高且后果严重,建议相关用户尽快评估风险、升级补丁并部署适当的防护措施。

影响版本漏洞名称:某国产报表SQL注入漏洞漏洞类型:SQL注入漏洞CVSS3.1评分:

9.8漏洞危害等级:

高危xxReport<11.5.4.1xxBi<6.1.8xxDataLink<xxBi<7.0.5xxBi<6.0.24xxDataLink<.

某国产报表SQL注入漏洞2025年漏洞趋势分析报告09

漏洞介绍进入initCreator()函数后发现

,这里解析就正好需要获取http

请求的三个可控参数,

_parameters_,parms,function-

Params。+_parameters_,

传入的值需要进入getParmsMap解析,满足相关条件即可返回+parms,在initCreator函数中将request传入getEntity,这里会解析请求参数parms,需满足xml格式+functionParams,在

initCreator判断传入的

xml

体的

dsName的值是否为空,不为空会进入

dealParam

函数,此时该参数值会进入getParmsMap判断是否满足条件在LargeDatasetxxxxxHandler#dealParam中会有此漏洞的关键触发点,在dealParam函数中调用了evalValue。此漏洞的触发位置就在

com.xx.script.Calculator#evalValue,这是报表用于计算的表达式引擎,其中包含一些该组件内置函数的处理,也包括一些敏感的sql操作。

漏洞分析首先漏洞的发生点位于报表的

design

的大数据集导出插件的位置处,

可通过定义控件的事件去调用插件,如这里利用按钮监控点击事件,调用大数据集导出插件。

10

201205年漏洞趋势

2年告漏洞趋势分析报告通过接口信息,找到调用该插件的入口handle,定位到类文件LargeDatasetxxxxxHandler继续跟进eval()->evalstring()->parse(),这里通过parse方法对表达式进行解析并执行。2025年漏洞趋势分析报告11

漏洞描述该应用服务器在默认配置下,将ejbserver

接口暴露在Web端口,同时其EJB服务接口未能对输入的Java序列化对象进行有效的安全过滤。

漏洞影响该国产应用服务器ejbserver远程代码执行漏洞是一个高危、易于远程利用的安全漏洞,CVSS3.1

评分高达

9.8,攻击者无需认证机制即可在暴露的服务上进行代码注入并执行,进而获取系统控制权限。该漏洞的影响面覆盖含信创的政府、企业、科研、金融等多个行业的中间件部署场景,资产测绘的数据显示相关风险资产和IP数量已超过千级规模。建议相关部门和用户尽快排查受影响版本、应用官方补丁、加强访问控制及防护策略以降低被利用风险。通过debug,最后会通过调用一些Function进行执行相应的表达式,所以这里的SQL注入也可称作表达式注入。

漏洞修复厂商已发布相关版本与模块的漏洞补丁,请及时更新修复。漏洞名称:某国产应用服务器远程代码执行漏洞漏洞类型:远程代码执行CVSS3.1评分:9.8漏洞危害等级:

严重■

某国产应用服务器远程代码执行漏洞

12

201225年漏洞趋势

2年告漏洞趋势分析报告

漏洞介绍直

this.ejbServer.service(in,out),

可以

个readExternal函

数,分

是ProtocolMetaData定

义的clientProtocol对象和ServerMetaData定义的serverMetaData对象,用于处理输入流,这里直接跟进serverMetaData的readExternal方法。

漏洞分析根据官方的下载补丁定位到漏洞发生的位置,xxxx/server/httpd/ServerServlet.class。<=应用服务器版本<=_M9<=应用服务器版本<=32025年漏洞趋势分析报告13

影响版本漏洞名称:Apache

Tomcat远程代码执行漏洞漏洞类型:远程代码执行漏洞编号:CVE-2025-24813CVSS评分:

9.8漏洞危害等级:

严重

漏洞描述漏洞利用较为复杂,

需要在相关

tomcat

版本中,

配置了

DefaultServlet

的写入功能,允许

PUT

请求,并存在如commons-collections

可调用

JAVA

反序列化链的库,攻击者可通过

PUT

上传反序列化调用链的

payload,写入文件会话存储的临时目录,访问特定路由,即可远程代码注入并执行。在此方法中,出现了敏感的反序列化函数

readObject(),这样通过利用

ejbserver

接口上传序列化

payload

即可实现远程命令执行。■ApacheTomcat远程代码执行漏洞(CVE-2025-24813)

漏洞修复厂商已发布相关版本与模块的漏洞补丁,请及时更新修复。

14

201245年漏洞趋势

2年告漏洞趋势分析报告

漏洞介绍》》

漏洞影响Apache

Tomcat是全球最常用的

Java

Web容器之

,广泛部署于中大型企业、政府机构、云平台和门户网站等。CVE-2025-24813是一个关键级别的

Apache

Tomcat安全漏洞,攻击者可通过构造带有内部点(如

.Name)的路径的HTTPPUT,利用Tomcat对内部点路径解析不当直接覆盖敏感文件或上传恶意序列化数据。随后如果服务器使用基于文件的session持久化且包含可触发反序列化代码,服务器将可能执行该恶意代码,使攻击者获得任意命令执行能力或系统控制权。该漏洞的利用无需认证、无需合法权限,

且在公开不久后即有PoC/利用代码流出社区。漏洞影响范围极广(涉及全球大量基于Tomcat的Web服务),且存在现实利用风险。官方已经发布修复版本并被安全机构列入主动利用漏洞目录,强烈建议快速升级和缓解。

影响版本

漏洞分析1)在conf/context.xml中开启文件会话存储,添加如下的配置:10.1.0-M1<=ApacheTomcat<=10.1.349.0.0.M1<=ApacheTomcat<=9.0.9811.0.0-M1<=ApacheTomcat<=11.0.22025年漏洞趋势分析报告153)选择合适的反序列化调用链库,放到tomcat的lib

目录下。代码分析在默认的servlet类中,发送put请求后会经过doPut()处理

16

201265年漏洞趋势

2年告漏洞趋势分析报告2)配置web.xml,在conf/web.xml中添加如下配置首先,这里有一个函数

parseContentRange

用于解析请求体的

content-range

字段,在

HTTP

协议中,Content-Range字段用于表示客户端将

HTTP

流进行分段传输。例如Content-Range:bytes0-a/b表示文件总大小是

b

字节

,

本次上传0-a字节大小的数据包。所以利用这个特性,即可在存储位置xxxx\localhost\ROOT

写入恶意文件,这里可以利用网上很多cc链的

payload构造工具传输,由于Tomcat在处理不完整的PUT请求时,会对上传时的文件路径中的分隔符

/转换为.

。通过

executePartialPut()函数将PUT请求传入的恶意的序列化数据写入到会话文件中,通过开启文件会话持久化,

内容会被临时存储在

xxxx\localhost\ROOT。2025年漏洞趋势分析报告17实测写入成功之后短时间内就会自动执行,或者可以直接再请求cookie触发session文件。

漏洞分析目前官方已发布安全更新,升级至最新版本:+

9.0.0.M1<=ApacheTomcat<=9.0.98+

10.1.0-M1<=ApacheTomcat<=10.1.34+

11.0.0-M1<=ApacheTomcat<=11.0.2官方补丁下载地址:+

https://tomcat.apache.org/security-11.html+

https://tomcat.apache.org/security-10.html+

https://tomcat.apache.org/security-9.html漏洞名称:Palo

Alto

Networks

PAN-OS

身份验证绕过漏洞漏洞类型:身份验证绕过漏洞编号:CVE-2025-0108CVSS评分:

9.1漏洞危害等级:

高危、

Palo

AltoNetworksPAN-OS身份验证绕过漏洞(CVE-2025-0108)

18

201285年漏洞趋势

2年告漏洞趋势分析报告

漏洞介绍

漏洞分析该漏洞的利用点会经过三层:

Nginx→

Apache→PHP的身份验证处理过程。1)Nginx接收客户端的请求并X-pan-AuthCheck设置标头以确定是否需要身份验证。此后,只要包括/unauth/

的路径的请求则被认定为无需验证。proxy_set_header

X-pan-AuthCheck'on';

#默认需要认证#以下路径免认证if($uri~^\/unauth\/.+$){set$panAuthCheck'off';}这就会导致/unauth/包含路径的请求,设置header的X-pan-AuthCheck:off即可绕过验证。2)Apache然后请求被代理到

Apache。

Apache将重新规范化并重新处理请求,同时如果匹配还会应用重写规则:<Location"/">DirectorySlashoffRewriteEngineonRewriteRule^(.*)(\/PAN_help\/)(.*)\.(css|js|html|htm)$$1$2$3.$4.gz[QSA,L]AddEncoding

gzip.gz

漏洞描述Palo

AltoNetworksPAN-OS认证绕过漏洞,派拓网络(Palo

AltoNetworks)是一家网络安全公司,漏洞位于其核心产品“下一代防火墙”(Next-Generation

Firewall)平台,可提供网络活动的可视化能力。

Palo

Alto

Networks

PAN-OS的管理界面存在认证绕过漏洞,攻击者可利用路径混淆和双重URL编码,未授权直接访问管理界面,进而绕过身份验证机制。

漏洞影响CVE-2025-0108是Palo

Alto

Networks

PAN-OS(防火墙操作系统)中的一个身份验证绕过漏洞,存在于其管理Web界面中。未经过身份验证的攻击者只需具备对管理Web界面网络访问权限,

即可绕过正常登录验证,并调用部分后台PHP脚本,对系统完整性和保密性构成安全威胁。虽然该漏洞本身不直接导致远程代码执行,但可为后续攻击链(例如权限提升或配置篡改)提供入口。多个安全机构指出,攻击者已将CVE-2025-0108与其

他漏洞(如CVE-2024-9474、CVE-2025-0111)串联起来形成更强的攻击链,可在未修补系统上实现更深层次的入侵和破坏。

影响版本PANOS11.2<

11.2.4-h4PANOS10.2<10.2.13-h3PANOS11.1<

11.1.6-h1PANOS10.1<10.1.14-h92025年漏洞趋势分析报告19OptionsIndexesFollowSymLinksRequire

all

granted</Location>Apache的RewriteRule在Location上下文中执行时,

会触发内部重定向。这导致请求被处理两次,

URL会被双重解码。3)PHPApache内部重写URL将会解析遍历,并通过mod_php传递给PHP的FCGI。if

($_SERVER['HTTP_X_PAN_AUTHCHECK']!='off'&&$_SERVER['PHP_SELF']!=='/CA/ocsp'&&$_SERVER['PHP_SELF']!=='/php/login.php'&&stristr($_SERVER['REMOTE_HOST'],'127.0.0.1')===false)

{//...check

authentication

...}如果请求传递给PHP应用程序X-pan-AuthCheck:off,则认为不需要身份验证。

漏洞修复+

升级至最新版本:参考paloalto官网漏洞通告与修复方案:https://security.paloaltonetworks.com/CVE-2025-0108+

对PAN-OS管理接口的访问限制为仅白名单IP地址

20

2025年漏洞趋势分析报告2025年已知在野0day漏洞涉及厂商Apple9Google8Qualcomm3VMWare1MicrosoftAppleGoogleQualcommVMWareFreeTypeSamsungMetaFreeType1

全球0day漏洞在野利用态势“Project

Zero”是一项由谷歌成立的互联网安全项目,

旨在发现、跟踪和修补全球范围内的在野利用

0day

漏洞。根据该项目捕获的在野0day漏洞利用情况来看,2025年发现的在野利用0day数量较2024年相比有大幅度的增长(32%)

,2025

年共发现

43

0day

存在在野利用情况,而

2024

年只有

31

个。这些漏洞主要涉及

Microsoft、Google、Apple等8个厂商的

12款产品,产品类型主要分为操作系统、浏览器、应用程序和硬件设备,攻击手法高度集中在内存破坏类漏洞上,供应链与攻击面的持续扩大构成了年度主要安全挑战。oday漏洞趋势总体分析2025年漏洞趋势分析报告21Meta1Samsung

1Microsoft

19攻击面持续扩大,从操作系统延伸到芯片与通讯应用。2025年的数据反映了攻击面的两个重要扩展方向:(1)移动设备底层芯片:出现了针对高通(Qualcomm)GPU驱动的3个内存破坏漏洞(如CVE-2025-21479)。攻击移动芯片可使威胁持久化,难以检测和清除。(2)主流通讯应用:Meta公司的WhatsApp首次出现在野利用0day(CVE-2025-55177)。这表明攻击者试图入

侵高可信的核心通讯应用,可能用于窃听或传播恶意软件。供应链攻击持续深入,攻击面从浏览器引擎扩展至基础系统组件与硬件驱动。在2025年的在野0day漏洞利用中,针对第三方组件的攻击依然是攻击者的主要手段。攻击者积极寻找并利用

那些被广泛集成但安全关注度相对较低的底层组件漏洞

。例如,F

r

ee

Type字体渲染库的漏洞

(CVE-

2025

-

27363)可影响大量依赖它的应用程序;高通(Qualcomm)GPU驱动中的多个漏洞(如CVE-2025-21479)可用于攻击移动设备。这些案例表明,针对软件供应链的攻击正变得愈发多样和隐蔽。通过对2015年以来的在野利用0day漏洞所属平台进行定量分析,可以看出操作系统和浏览器两种类型的0day漏洞数量较多,

占据主要部分。从攻击难度和攻击效益来看,浏览器

0day

漏洞攻击实施复杂度低、攻击效益高。此外,

当前攻击趋势也在发生一些变化:正在向供应链与新兴攻击面两个维度扩张。攻击者不仅持续深挖操作系统与浏览器漏洞,也在挖掘一些供应链底层组件(如字体库、驱动)

漏洞,

以一点突破影响全局;

同时也将目光投向移动设备层和高可信的核心通讯应用等新兴领域。

01

操作系统和浏览器类的0day漏洞数量最多,表明这两类漏洞仍然是攻击者利用的常见入口。

·

由于操作系统和浏览器在用户设备上的广泛使用且攻击成本低,使得这两类漏洞成为攻击者首选的渗透路径。

2220225年漏洞趋势2年告漏洞趋势分析报告2015-2025年在野利用0day攻击数量在野利用0day总量针对2025年的43个在野0day漏洞利用情况进行深入分析,可以得出以下三点结论:2015201620172018201920202021202220232024202541310203807060504030201002212282520256943562015-2025年各平台在野0day漏洞数量160140120100806040200145106522519

7操作系统浏览器应用程序Web应用硬件设备

15—24年合计25新增

国产化场景0day漏洞趋势分析

2025年,在国家级实战攻防演练中,针对国产化应用场景的网络攻击已进入全新阶段。攻击方呈现出高度定向化、专业化和武器化的特征,

其攻击手法也从广撒网式的扫描探测,

转向对国产化产品的深度研究。各类国产化安全产品、硬件设备、OA软件、行业应用及其依赖的开源组件,均成为攻击者挖掘并利用0day漏洞的高价值目标。2025年国家级实战攻防演练期间,

深信服通过0day狩猎技术,独立发现并验证了150余个0day漏洞。在漏洞数量上,由于活动周期变短,数量较2024年下降15%,近三年整体趋势波动上升。近三年HW0day披露情况178151602025年漏洞趋势分析报告23200180160140120100806040200

32420232024202592025年HW国产化0day漏洞系统分类58.38%45.29%24.16%5.3%10.6%4.3%行业类应用系统办公自动化(OA)企业资源计划(ERP)客户关系管理(CRM)报表/BI系统内容管理/融媒体(CMS)

人力资源管理(HRM)面对

0day

攻击,传统的被动防御模式已难以应对。因此在主动安全体系中可以构建智能化的威胁狩猎能力,其核心能力是将安全专家经验沉淀为狩猎模型,通过安全日志和审计日志狩猎在野利用的

0day

漏洞。同时,AI

技术的引进使未知漏洞威胁识别效率得到极大的提升,利用AI模型对初筛数据进行降噪清洗,结合已知漏洞识别等手段排除Nday漏洞日志,配合误报消减技术过滤误报日志,从而大幅降低需研判的日志量。深信服

2025

全年累计狩猎到

280

余个

0day

漏洞,相比

2024

数量有所减少,但更聚焦于国产化场景下的漏洞。经过深度分析与验证复现,狩猎的0day漏洞类型分布如下,主要还是以SQL注入、文件上传、代码注入、命令注入等能够获取目标主机权限的漏洞类型为主。其中也包含一些组件类的未授权访问、信息泄露等逻辑型漏洞。

0day漏洞防御与应对趋势

从漏洞的分布来看,攻击者的目标主要集中于支撑企业日常运营与核心业务的关键软件系统。其中,协同办公(OA)类与企业资源计划(ERP)

类系统的

0day

漏洞最多,合计占比超过总数的

60%。紧随其后的是客户关系管理(CRM)、报表类

BI

平台。此外,内容管理平台(CMS)、人力资源管理类系统(HRM)也存在部分

0day

漏洞,剩余的部分

0day

漏洞主要为行业类的各种应用系统软件。.

构建主动安全体系(威胁狩猎能力)

2420245年漏洞趋势2年告漏洞趋势分析报告》》

》8.5%人工智能技术,特别是大语言模型和深度学习,正在重塑漏洞挖掘的范式与流程。2025年,AI已成为攻防双方的核心工具,显著提升了漏洞发现的效率、精度和自动化水平。攻击方利用

AI

降低技术门槛,

实现规模化漏洞挖掘;

防守方则借助

AI构建主动、智能的防御体系,缩短漏洞在野利用周期。

攻击方(AI赋能攻击):漏洞挖掘的“工业化”变革攻击方利用

AI

辅助工具,

实现了漏洞挖掘从“手工作坊”到“自动化产线”的演进。AI

不仅加速了漏洞发现过程,还大幅降低了攻击技术门槛,使传统需要高级技能的网络攻击呈现“平民化”趋势。1.

自动化代码审计AI

能够快速分析海量源代码,识别人类安全专家难以发现的脆弱点。例如,谷歌

Project

Zero

团队开发的

AI

漏洞挖掘智能体“Big

Sleep”,通过大模型技术对代码进行深度语义分析,在全球使用量超万亿的

SQLite

数据库中成功发现了一个潜伏长达

20

年的

0day

漏洞。这种能力使得攻击者可以在短时间内完成对大型代码库的自动化审计,效率较传统人工审计提升3-5倍。2025年0day狩猎漏洞类型分布文件读取15%信息泄露7%文件上传17%命令执行9%代码注入5%未授权访问1%XML实体注入3%SQL注入43%ControllerAgentToolsetDebugger

Code

Browser

PythonReporterEnvironmentTarget

Program

Build

Source

Code

Index.

AI驱动的自动化漏洞挖掘2025年漏洞趋势分析报告25Gemini

OpenAI

HumanBackend2.智能模糊测试与路径探索传统的模糊测试盲目性强、效率较低,而

AI

驱动的智能模糊测试能够动态调整测试策略,生成针对性更强的测试用例。以国外安全公司“XBOW”为例,其将AI模糊测试与自动化渗透模块融合,可自动识别接口业务类型和参数,组装针对性探测

Payload,从而有效发现了包括

XSS、SQL

注入、命令执行在内的多种漏洞类型。凭借这一技术优势,2025

年XBOW登顶全球知名漏洞赏金平台HackerOne排行榜。

防守方(AI赋能防御):构建主动、高效的智能防御能力面对

AI

驱动的攻击,防守方也在积极利用

AI

技术提升漏洞管理的全流程能力,从发现、修复到优先级排序,实现防御能力的大幅提升。1.

自动化漏洞扫描与修复在软件开发生命周期(SDLC)

的早期阶段,AI

工具已集成到开发环境中主动进行代码安全扫描。例如,GitHub

Copilot结合

CodeQL推出的“代码扫描自动修复”功能,可以在发现漏洞后自动调用大模型生成修复代码,据称可自动修复约三分之二的常见漏洞警报,将修复效率提升30%以上。2.智能漏洞修复优先级通过AI

技术分析漏洞的上下文信息(如可利用性、资产重要性、是否存在公开

Exp),实现漏洞优先级技术(VPT),帮助安全团队将有限资源集中在修复风险最高的漏洞上。

Tenable推出的漏洞优先级评级(Vulnerability

Priority

Rating,

VPR)方案是一个典型代表。此方案的核心在于其“双重评级”机制:

它不仅依据漏洞(CVSS)

基础分进行评估,更重要的是通过其AI驱动的分析引擎,生成一个动态的

VPR风险评分。VPR评分通过实时分析资产上下文、实时威胁情报等多维信息,更精准地反映漏洞在特定用户环境中的实际威胁。通过这种智能化分析,VPR能够将传统CVSS评分所标记的大量“高危”漏洞(通常占总数约60%)进行精准筛选,最终将需要立即投入资源处置的漏洞范围精确缩小至1.6%左右。

2620265年漏洞趋势2年告漏洞趋势分析报告

开源软件安全现状伴随着数字化转型的全面深耕,

开源软件(OSS)

已彻底从辅助性的开发工具演变为现代信息系统的“数字底座”。据2025年最新行业数据显示,全球超过97%的商业应用中嵌入了开源组件,

开源代码在关键基础设施系统中的占比已突破80%。开源生态的繁荣在极大地降低创新门槛、缩短研发周期的同时,也构建起了一个前所未有的、错综复杂的隐性依赖网络。开源生态的繁荣在带来便利的同时,其隐性依赖网络也导致漏洞问题同样“繁荣”。据

Black

Duck2025

年报告统计,约86%

的代码库至少存在一个漏洞,81%

的代码库存在高危或严重威胁等级的漏洞。而且开源组件往往位于架构的中下层,

“牵一发而动全身”,更新难、修复难的问题普遍存在。经统计,91%

的代码库包含超过

10

个过时的开源组件,90%

的代码库所含组件落后最新版本超过4个版本。随着开源组件深度融入软件全生命周期,各大生态系统的复杂性与耦合度正以前所未有的速度提升。各大开源生态系统漏洞数量变化情况如下图所示。漏洞数量GITRed

HatdebiangokernelmavennpmopenSUSEpypi20238036240247957861622958322198581020249436249756211055306656842418659692025900325794962117436496285817125912025

年开源软件漏洞攻击类型分布如下图所示。可见

Web类安全漏洞占据主导地位,其中跨站脚本(XSS)、授权

/

访问控制相关问题(CWE-863、CWE-284、CWE-862、CWE-287)合计占比较高,反映出权限设计与校验类问题仍是主要薄弱点。其次是输入处理不当引发的注入与遍历问题(如路径遍历、SQL注入、命令

/

代码注入、SSRF),说明对外部输入的校验和隔离仍不足。整体来看,应优先加强输入验证、权限控制以及敏感操作的安全设计。开源软件与供应链安全趋势分析2025年漏洞趋势分析报告27CWE-79跨站脚本(XSS)13.11%CWE-863不正确的授权7.19%CWE-22路径遍历5.54%CWE-200信息泄露5.30%CWE-770资源分配不加限制5.01%CWE-78OS命令注入4.57%CWE-89SQL注入3.73%CWE-20输入验证不恰当3.58%CWE-918服务器端请求伪造(SSRF)2.91%CWE-94代码注入2.89%CWE-400未控制的资源消耗(拒绝服务)2.67%CWE-502反序列化不受信任的数据2.61%CWE-284访问控制不当2.50%CWE-862缺少授权2.40%CWE-1321加密算法不充分2.42%CWE-287身份验证不当2.11%CWE-601URL重定向1.72%CWE-352跨站请求伪造(CSRF)1.38%其他其他32.54%操作系统CVE数量LinuxKernel3649Windows10623Android509macOS362HarmonyOS174漏洞来源网络边界安全设备占比21.60%CMS18.43%开源软件14.50%服务器软件11.76%操作系统7.47%其他26.24%据VulnCheck社区统计,2025

年确认出现在野利用的漏洞类型中,开源漏洞位于第三位(约占

14.5%)。仅次于面向互联网的网络边界安全设备和

WordPress

生态主导的

CMS

内容管理系统,可见开源漏洞在实战攻击场景中仍然具备较高的利用价值。

一方面,

开源组件被广泛集成于业务系统和基础设施中,攻击面分布广、影响范围大;

另一方面,

部分项目存在依赖链复杂、版本更新滞后等问题,使已公开漏洞在较长时间内仍可被攻击者反复利用,成为持续威胁的重要来源。

2025年在野利用漏洞类型占比如下图所示。2025

年,在操作系统漏洞数量统计中,Linux及其相关开源生态依然位居前列。Linux

Kernel以3649个CVE的数量远超其他操作系统,反映了其开源、透明和社区驱动的开发模式。每一次漏洞修复都会分配一个CVE,并且修复过程完全公开,这与闭源系统的内部修复机制形成鲜明对比。虽然漏洞数量看似偏高,但正是这种透明性,使得安全社区能够快速发现、报告和修复问题,从而增强整体安全性。2025年操作系统漏洞数TOP5如下图所示。

2820285年漏洞趋势2年告漏洞趋势分析报告供应商CVE数量Linux5687Microsoft1255Adobe829Apple727ibm6062025

年12

月React官方披露了React服务器组件存在远程代码执行漏洞(CVE-2025-55182)的信息,

CVSS3评分10.0,源于React服务器组件(RSC)的"Flight"

协议在服务端处理客户端传输的序列化数据时,存在反序列化缺陷。攻击者可以发送一个特制的恶意

HTTP

请求,绕过安全限制,最终在服务端直接执行任意系统命令。由于

React

及其衍生框架Next.js在现在Web开发中应用极广,大量依赖该开源组件的应用(如dify等)都被发现存在受影响的风险。从供应商角度看,开源厂商同样在漏洞数量上领先,Linux相关组件累计5687个

CVE,远高于Microsoft、Adobe、

Apple等闭源厂商。这既体现了开源软件覆盖范围广、使用量大,也说明开源社区对漏洞的监测和披露更为及时和全面。与之相比,

闭源厂商漏洞数量较少,但漏洞披露过程相对集中,

外部可见性有限,修复周期可能受限于厂商内部流程。

2025年供应商漏洞数TOP5如下图所示。

开源软件漏洞案例.

React远程代码执行漏洞

(CVE-2025-55182)2025年漏洞趋势分析报告29Apache

Tomcat作为全球使用最广泛的Java开源应用服务器之一,于2025

3

月被披露存在一个远程代码执行漏洞(CVE-2025-24813),影响了全球数以千万计的网站及基于Tomcat构建的业务服务。尽管该漏洞的利用存在一定前置条件、攻击门槛相对较高,但其出现再次表明:

在开源组件代码完全公开的前提下,攻击者和安全研究人员都能够对其进行持续、深入的分析,使得更深层次的安全缺陷更容易被发现。这也从侧面说明,

开源漏洞数量和影响面较大的背后,并非安全性不足,而是源于其高度透明的生态特性。2025

6

月,

Linux

sudo

爆出本地提权漏洞,源于本地低权限用户通过特制的恶意chroot环境触发动态库加载,从而以root权限执行任意代码。作为Linux系统中广泛使用的核心开源组件,sudo漏洞一旦暴露,往往具有影响范围大、攻击价值高、快速武器化等特点。对于开源组件的使用者而言,

应持续关注开源社区和安全公告,

及时评估自身环境是否受影响,

尽快完成补丁升级或采取临时缓解措施,

同时加强对关键系统组件的最小权限配置和安全加固,

以降低被在野利用的风险。■ApacheTomcat远程代码执行漏洞(CVE

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论