2025年的网络安全格局的特点是漏洞利用空前激增,威胁者利用了企业软件、云基础设施和工业系统的关键缺陷。
本综合分析考察了今年最危险的20个漏洞,强调了其技术细节、利用方法以及组织迫切需要优先考虑修补和防御战略。
这些漏洞代表了CVSS的综合严重性评级平均为8.5,其中两个达到10.0的最高分,强调了这些安全漏洞的关键性质。
详细说明2025年最被利用的漏洞的表格
| CVE ID | 漏洞标题 | CVSS v3.1分数 | 受影响的产品 | 漏洞类型 | 需要认证 | 主动利用 | 披露日期 | CISA KEV状态 | 主要攻击向量 |
|---|---|---|---|---|---|---|---|---|---|
| CVE-2025-55182 | React2Shell – React服务器组件RCE | 10.0(关键) | 反应服务器组件(Meta) | 反序列化/未经认证的RCE | 否(未经认证) | 是 – 网状代理恶意软件,加密货币矿工 | 2025年12月3日 | 添加于2025年12月 | 网络/网络应用程序 |
| CVE-2025-62221 | Windows云文件迷你过滤器驱动程序免用后使用 | 7.8(高) | Windows云文件迷你过滤器驱动程序 | 免使用后/内存损坏 | 是(本地认证) | 是的——2025年12月星期二补丁 | 2025年12月9日 | 添加于2025年12月 | 本地系统访问 |
| CVE-2025-6218 | WinRAR路径遍历远程代码执行 | 7.8(高) | WinRAR 7.11及更早版本 | 路径遍历/任意文件提取 | 否(未经认证-存档文件) | 是的 – APT-C-08,GOFFEE,苦涩团体 | 2025年3月/2025年6月补丁 | 添加于2025年12月 | 用户交互(存档文件) |
| CVE-2025-48633 | 安卓框架信息披露 | 高(未指定) | 安卓13-16框架 | 信息披露/沙盒旁路 | 否(恶意应用程序) | 是-国家行为者(有限目标) | 2025年12月2日 | 添加于2025年12月 | 移动应用程序/恶意应用程序 |
| CVE-2025-48572 | 安卓框架特权升级 | 高(未指定) | 安卓13-16框架 | 特权升级/未经授权的活动 | 否(恶意应用程序) | 是-国家行为者(有限目标) | 2025年12月2日 | 添加于2025年12月 | 移动应用程序/恶意应用程序 |
| CVE-2025-5777 | CitrixBleed 2 – Citrix NetScaler内存披露 | 9.3(关键) | Citrix NetScaler ADC/网点 | 出界阅读/会话劫持 | 否(未经认证) | 是的——RansomHub,多个威胁组 | 2025年6月17日 | 添加于2025年7月(24小时截止日期) | 网络/VPN网关 |
| CVE-2025-48384 | 在非Windows系统上写入Git任意文件 | 8.0-8.1(高) | macOS和Linux上的Git | 任意文件写入/Git Hook执行 | 否(未认证-存储库克隆) | 是的——复杂的社会工程 | 2025年7月8日 | 添加于2025年8月 | 网络/Git存储库 |
| CVE-2025-41244 | VMware Aria Tools 本地特权升级 | 7.8(高) | VMware Aria运营,VMware工具 | 不受信任的搜索路径/LocalPrivEsc | 是(本地用户) | 是的——国家演员UNC5174(中文APT) | 2025年9月29日 | 国家行为者剥削(非KEV) | 本地系统访问 |
| CVE-2025-9242 | WatchGuard Firebox IKEv2 出界写入 | 9.3(关键) | WatchGuard Firebox(Fireware操作系统) | 出界写入/堆栈溢出 | 否(未经认证) | 是的——已确认的KEV上市 | 2025年9月17日 | 添加于2025年11月 | 网络/VPN IKEv2协议 |
| CVE-2025-12480 | Gladinet Triofox 不当访问控制 | 9.1(关键) | Gladinet Triofox | 访问控制不当/身份验证旁路 | 否(未经认证) | 是 – UNC6485集群 | 2025年11月12日(公开) | 添加于2025年11月 | 网络/HTTP访问 |
| CVE-2025-62215 | Windows内核竞赛条件特权升级 | 7.0(高) | Windows内核(所有支持的操作系统) | 竞赛条件/双自由堆腐败 | 是(本地认证) | 是的——已确认的KEV上市 | 2025年11月11日 | 添加于2025年11月 | 本地系统访问 |
| CVE-2025-4664 | 谷歌Chrome跨起源数据泄露 | 8.8(高) | 谷歌浏览器 < 136.0.7103.113 | 跨起源数据泄露/引用政策绕过 | 否(未认证 – 用户交互) | 是的——已确认的KEV上市 | 2025年5月14日 | 添加于2025年5月 | 网络/网络浏览器 |
| CVE-2025-59287 | 微软WSUS反序列化远程代码执行 | 9.8(关键) | Microsoft WSUS(Windows Server 更新服務) | 不安全的反序列化/小工具链RCE | 否(未经认证) | 是的——广泛开发POC | 2025年10月23日(紧急补丁) | 添加于2025年10月 | 网络/WSUS端口8530/8531 |
| CVE-2025-32463 | Sudo Chroot特权升级 | 9.3(关键) | 苏多 1.9.14-1.9.17 | 相对路径遍历/特权升级 | 是(本地用户) | 是的——已确认的KEV上市 | 2025年6月 | 添加于2025年10月 | 本地系统访问 |
| CVE-2025-20333 | 思科ASA/FTD缓冲区溢出远程代码执行 | 9.9(关键) | 思科ASA/FTD | 缓冲区溢出/VPN身份验证旁路 | 是(认证VPN) | 是 – ArcaneDoor(UAT4356)州赞助商 | 2025年9月24日 | 添加了2025年9月(紧急指令) | 网络/VPN认证 |
| CVE-2025-20362 | 思科ASA/FTD缺少授权身份验证旁路 | 6.5(中号) | 思科ASA/FTD | 缺少授权/访问控制缺陷 | 否(未经认证) | 是 – 带有 CVE-2025-20333 的 ArcaneDoor 链条 | 2025年9月24日 | 添加了2025年9月(紧急指令) | 网络/防火墙管理 |
| CVE-2025-10585 | 谷歌Chrome V8类型混淆远程代码执行 | 8.8(高) | 谷歌浏览器 < 140.0.7339.185 | 类型混淆/内存损坏RCE | 否(未认证 – 用户交互) | 是 – 谷歌标签已确认 | 2025年9月16日 | 添加于2025年9月 | 网络/网络浏览器 |
| CVE-2025-5086 | DELMIA Apriso 不可信数据RCE的反序列化 | 9.0(关键) | DELMIA Apriso(2020-2025发布) | 不安全的反序列化/小工具链RCE | 否(未经认证) | 是 – SANS ISC 观察 | 2025年6月2日(补丁),9月11日(KEV) | 添加于2025年9月 | 网络/HTTP SOAP请求 |
| CVE-2025-53690 | Sitecore ViewState反序列化远程代码执行 | 9.0(关键) | Sitecore 体验经理/平台 | ViewState反序列化/小工具链RCE | 否(未认证 – 已知机器密钥) | 是的——Mandiant威胁防御已确认 | 2025年9月2日 | 添加于2025年9月 | 网络/网络应用程序 |
| CVE-2025-32433 | Erlang/OTP SSH守护程序预认证RCE | 10.0(关键) | 二郎/OTP SSH守护程序 | SSH协议解析/预授权RCE | 否(预认证) | 是 – OT环境定位 | 2025年4月16日 | 已确认的主动利用 | 网络/SSH协议 |
© 版权声明
文章版权归原作者所有,转摘请注明出处。文章内容仅代表作者独立观点,不代表安全壹壹肆&安全114的立场,转载目的在于传递网络空间安全讯息。部分素材来源于网络,如有侵权请联系首页管理员删除。
THE END
暂无评论内容