2025 年 Q1 漏洞态势分析报告

-1- 目录 一、前言1 二、2025年Q1漏洞分布概况2 （一）Q1披露漏洞数量分布2 （二）Q1披露漏洞危害等级分布2 （三）Q1漏洞产生原因分布3 （四）Q1漏洞引发的威胁分布4 三、2025年Q1漏洞回顾5 （一）Q1需要重点关注的高危漏洞5 （二）Q1需要重点关注的微软漏洞9 （三）Q1需要重点关注的微软在野漏洞11 四、2025年Q1AI资讯14 （一）OWASPLLM安全威胁Top10更新14 （二）OWASPLLM安全威胁Top10解读15 （三）Q1需要重点关注的AI相关漏洞18 五、关于我们20 一、前言 在数字化进程加速与攻击手段持续演进的背景下，网络安全威胁呈现高频率、高隐蔽性、高危害性等特征。2025年Q1态势分析报告旨在深入分析当前网络安全环境中的漏洞情况，对全网漏洞信息进行高效收集归纳。随着新技术的不断涌现，攻击者也在不断升级其攻击手段，因此，了解最新的漏洞动态和攻击趋势显得尤为重要。本报告将对2025年第一季度已披露的漏洞数据多维度梳理，以及对最新漏洞资讯的收集，帮助用户更好地识别风险、保护资产。 二、2025年Q1漏洞分布概况 截至本报告编写时间2025年3月24日，安恒CERT对2025年Q1披露的漏洞数据进行了整理与统计，以下数据均来源于国家信息安全漏洞共享平台，详情如下。 （一）Q1披露漏洞数量分布 Q1漏洞统计数据显示：一月份披露漏洞数据共计1151个，二月份披露漏洞数据共计870个，三月份披露漏洞数据共计840个。 图表1Q1披露漏洞数量分布 （二）Q1披露漏洞危害等级分布 其中一月份披露高危漏洞数量为557个，中危漏洞数量为526个，低危漏 洞数量为68个；二月份披露高危漏洞数量为393个，中危漏洞数量为421个， 低危漏洞数量为56个；三月份披露高危漏洞数量为345个，中危漏洞数量为451 个，低危漏洞数量为44个。 图表2漏洞危害等级分布 （三）Q1漏洞产生原因分布 据漏洞产生原因分布图来看，设计错误占比最大，这类漏洞通常是由于系统在设计阶段未能充分考虑安全性而引发的漏洞，在设计和开发时可以通过选择经过验证的安全框架和库，减少自定义代码的使用，从而降低引入安全漏洞的风险。 图表3漏洞产生原因分布 （四）Q1漏洞引发的威胁分布 在漏洞引发的威胁中，未授权的信息泄露占比最高。造成这一问题的主要原因包括用户使用简单易猜的密码或在多个平台上重复使用相同密码；未及时更新存在漏洞的软件或系统；以及系统或应用程序的默认设置不当，这些因素均可能导致未授权用户访问敏感数据，从而引发信息泄露。因此，建议用户从这些方面着手展开自查，积极防范此类漏洞威胁。 图表4漏洞引发的威胁分布 三、2025年Q1漏洞回顾 安恒CERT梳理了2025年第一季度内披露的一些需要重点关注的漏洞，分别是安恒CERT在该季度内展开预警的漏洞，即下文中Q1需要重点关注的高危漏洞；微软在该季度内披露的CVSS3.1>=9.0的高危漏洞，即下文中Q1需要重点关注的微软漏洞以及该季度内微软披露的在野利用漏洞。 （一）Q1需要重点关注的高危漏洞 安恒CERT利用恒脑赋能的MMM漏洞情报监测平台，快速分析海量漏洞数据，从中筛选出符合预警标准的漏洞并进行及时响应。本季度，安恒CERT共16个漏洞发布预警，其中严重等级的漏洞占12个，具体情况如下： 1.Ivanti多产品存在缓冲区溢出漏洞（CVE-2025-0282） 安恒漏洞编号：DM-202501-000765；CVSS3.1：9.0； 该漏洞影响IvantiConnectSecure、IvantiPolicySecure和IvantiNeuronsforZTA网关，未经身份验证的远程攻击者能够在受影响的系统上执行任意代码，该漏洞目前已监测到在野利用。 2.FortiOSandFortiProxy存在身份验证绕过漏洞 （CVE-2024-55591） 安恒漏洞编号：DM-202412-001503；CVSS3.1：9.8； 该漏洞允许远程攻击者通过向Node.jswebsocket模块发出精心编制的请求来获得超级管理员权限。该漏洞已发现在野利用。 3.IvantiEndpointManager存在路径穿越敏感信息泄露漏洞 CVE漏洞编号：CVE-2024-10811、CVE-2024-13161、CVE-2024-13160、 CVE-2024-13159； 安恒漏洞编号：DM-202411-000375、DM-202501-000848、 DM-202501-000847、DM-202501-000846； 未经身份验证的攻击者可以利用绝对路径遍历获取敏感信息，可能导致攻击者获得未经授权的访问、执行远程代码或权限提升等进一步攻击。 4.Rsync存在缓冲区溢出漏洞（CVE-2024-12084） 安恒漏洞编号：DM-202412-000252；CVSS3.1：9.8； 由于代码中未正确处理攻击者控制的校验和长度（s2length），当MAX_DIGEST_LEN超过固定SUM_LENGTH（16字节）时，攻击者可以在sum2缓冲区中越界写入。 5.Rsync存在敏感信息泄露漏洞（CVE-2024-12085） 安恒漏洞编号：DM-202412-000253；CVSS3.1：7.5； 当Rsync比较文件校验和时，攻击者可以通过校验和长度与未初始化内存之间的比较，一次泄漏一个字节的未初始化堆栈数据，从而造成敏感信息泄露。当这与漏洞CVE-2024-12085进行组合利用时攻击者可以实现远程代码执行，例如通过对服务器的读取或写入任何连接客户端的任意文件，从而获取敏感数据 （例如SSH密钥），通过覆盖文件来执行恶意代码。 6.OracleWebLogicServer存在远程代码执行漏洞 （CVE-2025-21535） 安恒漏洞编号：DM-202412-003828；CVSS3.1：9.8； 未经身份验证的攻击者通过T3/IIOP进行网络访问，以此来入侵OracleWebLogicServer，成功利用此漏洞后，攻击者可能执行任意代码从而完全接管控制服务器。 7.Exim存在SQL注入漏洞（CVE-2025-26794） 安恒漏洞编号：DM-202502-001830；CVSS3.1：7.5； 攻击者可以通过向易受攻击的Exim服务器发送特制的ETRN请求来利用此漏洞，从而可能导致未经授权访问敏感信息或破坏服务器的运行。 a.Exim运行版本为4.98； b.启用USE_SQLITE选项（可使用exim-bv进行检查，返回结果为HintsDB:Usingsqlite3）； c.启用ETRN（acl_smtp_etrn返回accept，默认为denied）； d.启用smtp_etrn_serialize（默认为true）。若不满足上述所有条件将不受该漏洞影响。 8.VMCI存在堆溢出漏洞（CVE-2025-22224） 安恒漏洞编号：DM-202501-000278；CVSS3.1：9.3； VMwareESXi和Workstation包含TOCTOU（检查时间使用时间）漏洞，该漏洞可能越界写入，具有虚拟机本地管理权限的攻击者能够利用该漏洞在主机 上运行虚拟机的VMX进程时执行代码。 9.VMwareESXi存在任意写入漏洞（CVE-2025-22225） 安恒漏洞编号：DM-202501-000279；CVSS3.1：8.2； VMwareESXi存在任意写入漏洞，在VMX进程内具有权限的攻击者可能会触发任意内核写入，从而导致沙箱逃逸。 10.HGFS存在信息泄露漏洞（CVE-2025-22226） 安恒漏洞编号：DM-202501-000280；CVSS3.1：7.1； VMwareESXi、Workstation和Fusion存在因HGFS中的越界读取而导致的信息泄露漏洞，具有虚拟机管理权限的攻击者可能利用该漏洞从vmx进程中泄漏内存。 11.ElasticKibana存在原型污染致任意代码执行漏洞 （CVE-2025-25012） 安恒漏洞编号：DM-202502-000007；CVSS3.1：9.9； ElasticKibana存在原型污染致任意代码执行漏洞（CVE-2025-25012），攻击者可以利用Kibana中存在的原型污染问题，通过构造恶意的文件上传和HTTP请求从而执行任意代码。 漏洞利用情况： a.在8.15.0<=Kibanaversions<8.17.1具有viewer角色的用户可利用此漏洞； b.在Kibanaversions=8.17.1、8.17.2并具有以下所有权限的用户可 利用此漏洞： fleet-all;integrations-all; actions:execute-advanced-connectors 12.ApacheTomcat存在远程代码执行漏洞 （CVE-2025-24813） 安恒漏洞编号：DM-202501-004785；CVSS3.1：9.8； 当Tomcat开启Pu（tTomcatconf/web.xml配置文件中初始化参数readonly 配置为false）、配置了session文件形式保存且目标环境存在相关可利用依赖条件的情况下攻击者可以通过上传恶意session文件实现远程代码执行。 13.vLLM存在远程代码执行漏洞（CVE-2025-29783） 安恒漏洞编号：DM-202503-002050；CVSS3.1：9.0； 当vLLM配置为使用Mooncake时，所有网络接口上直接通过ZMQ/TCP 暴露的不安全反序列化将允许攻击者在分布式主机上执行远程代码。 （二）Q1需要重点关注的微软漏洞 Microsoft安全响应中心每月发布安全公告，通常包含针对已知安全漏洞的修复信息。及时应用这些补丁可以有效防止攻击者利用这些漏洞进行攻击，从而保护系统和数据安全。 1.WindowsOLE远程代码执行漏洞（CVE-2025-21298） 安恒漏洞编号：DM-202412-001915；CVSS3.1：9.8； WindowsOLE（对象链接与嵌入）是一种允许嵌入和链接文档及其他对象的技术。在电子邮件攻击场景中，攻击者可以通过向受害者发送特制的电子邮件来利用此漏洞。利用此漏洞可能涉及受害者在受影响环境上使用MicrosoftOutlook软件打开特制的电子邮件，或受害者的Outlook应用程序显示特制电子邮件的预览。这都可能导致攻击者在受害者的机器上执行远程代码，在没有更新修复补丁前，建议用户以纯文本格式方式阅读电子邮件。 2.WindowsReliableMulticastTransportDriver （RMCAST）远程代码执行漏洞（CVE-2025-21307） 安恒漏洞编号：DM-202412-001924；CVSS3.1：9.8； WindowsReliableMulticastTransportDriver(RMCAST)是Windows操作系统中的一个驱动程序，用于实现可靠多播传输的核心功能。它通过提供可靠的数据传输机制，扩展了传统IP多播的功能，使得多播通信不仅快速高效，还具备可靠性，能够确保数据正确传递到每个接收者。RMCAST存在一处安全问题，未经身份验证的攻击者可以利用此漏洞，向服务器上开放的WindowsPragmaticGeneralMulticast(PGM)套接字发送特制的报文，成功利用可导致远程代码执行，且无需任何用户交互。此漏洞只有存在监听PragmaticGeneralMulticast(PGM)port的程序时才能被利用。如果安装或启用了PGM，但没有程序主动作为接收器进行监听，则此漏洞无法被利用。 3.WindowsNTLMV1特权提升漏洞（CVE-2025-21311） 安恒漏洞编号：DM-202501-000218；CVSS3.1：9.8； WindowsNTLMv1（