2025年度网络安全漏洞威胁态势研究报告

网络安全漏洞威胁态势研究报告 前言 Preface 2025年，全球网络安全威胁进一步复杂化与尖锐化，漏洞态势呈现数量激增、高危集中、利用加速、攻击智能的显著特征。根据奇安信CERT、CNVD/CNNVD等多源监测数据，全年新增漏洞预计将突破历史峰值，其中高危与极危漏洞占比持续扩大，同比呈现两位数增长。云计算、物联网、人工智能系统及国产软件的规模化应用，持续扩大攻击暴露面，供应链攻击、零日漏洞武器化、AI驱动的自动化渗透等新型攻击手段日益成熟，威胁态势从“单一漏洞利用”向“体系化、复合化攻击链”加速演进。 本报告基于奇安信CERT2025年全年漏洞监测数据，结合CNVD、CNNVD、VulnCheck等国内外权威漏洞库及威胁情报平台，通过多源交叉分析与深度研判，系统梳理2025年漏洞发展趋势、攻击手法演变、行业影响与关键案例，并构建覆盖“监测-研判-响应-防御”的全景化防护体系框架，旨在为政府、企业及相关客户提供精准、及时、可操作的漏洞情报与防御建议，助力其在日益激烈的网络对抗中构建主动、弹性、智能的安全能力。 摘要 summary 2025年漏洞态势的关键发现： 漏洞数量与高危占比双攀升：全年新增漏洞数量持续高位运行，高危及以上漏洞占比突破44%，较2024年显著提升，反映系统脆弱性进一步加剧。 利用窗口期近乎消失：漏洞从公开披露到野外利用的平均时间缩短至3天以内，50%以上的高危漏洞在公开后一周内被武器化，“修补窗口期”被极度压缩，传统补丁管理机制面临严峻挑战。 攻击产业化与AI化升级：漏洞利用呈现“即服务化”（EaaS）趋势，攻击链实现自动化、模块化协作；AI技术被广泛应用于漏洞挖掘、载荷生成与绕过检测，攻击效率提升3-5倍，防御侧应对压力剧增。 复合攻击链成为新常态：攻击者善用“漏洞组合拳”，通过初始入侵、横向移动、权限提升、持久化控制等多阶段渗透，形成深度潜伏的攻击链路，单点防御已难以应对。 国产软件与供应链漏洞风险凸显：国产OA、ERP、网络设备等漏洞数量持续上升，部分漏洞未收录于国际漏洞库，形成“影子风险”；开源组件与第三方库漏洞占比超过60%，供应链攻击常态化且隐蔽性增强。 2026年漏洞发展趋势展望： AI攻防对抗白热化：攻击方借助大模型实现自动化漏洞挖掘与利用代码生成；防御方需构建AI增强的漏洞预测、智能检测与自动化响应体系。 量子计算威胁进入预备期：虽未大规模实用，但量子算法对传统公钥加密体系的潜在破解风险已引起关注，抗量子密码迁移成为中长期安全战略重点。 云原生与物联网成重灾区：Kubernetes配置缺陷、容器逃逸、服务网格漏洞引发集群级风险；物联网设备固件漏洞被大规模利用组建僵尸网络，DDoS攻击峰值持续突破Tbps级。 供应链与第三方关联漏洞凸显：第三方软件插件、外包运维配置缺陷成攻击捷径，企业合规改造过渡期的数据迁移、权限配置漏洞被重点利用。 漏洞治理向运营化演进：基于威胁情报的漏洞优先级评估、自动化修补与闭环管理成为企业安全运营核心能力，零信任架构逐步融入漏洞防御体系。 目录TaCMF PG DPOUFOUT 第一章 2025年度漏洞态势分析 一、漏洞数量统计与趋势二、漏洞类型分布与威胁分析三、漏洞影响厂商与行业分布四、关键漏洞占比情况五、漏洞标签占比情况六、漏洞热度排名TOP 10七、2025年最危险的CWE类型八、漏洞修复时效性九、CVSS 10.0满分漏洞的表象与现实 第二章 重大漏洞案例分析 一、React2Shell 危及全球数百万 React 应用安全二、Fortinet FortiWeb 双漏洞协同攻击，威胁企业Web应用安全三、超过 28000 台 Citrix 设备面临严重零日漏洞入侵风险四、WinRAR 曝双目录穿越漏洞，恶意压缩包成主要攻击载体五、微软WSUS最新修复的严重漏洞已被积极利用六、未修补的 Gogs 零日漏洞在 700 多个实例中被活跃利用七、Clop 在 Oracle EBS 零日漏洞中窃取了“大量”数据八、Spring Cloud Gateway 爆 CVSS 10.0 最高危漏洞九、2025年第一个 Chrome 零日漏洞在间谍活动中被利用十、披露闹剧给 CrushFTP 漏洞利用蒙上阴影 目录TaCMF PG DPOUFOUT 第三章 关键种类漏洞分析 一、漏洞利用情况及趋势二、0day漏洞三、在野利用相关漏洞四、APT及勒索软件漏洞五、国产软件相关漏洞六、其它类别关键漏洞 第四章 2026年漏洞新兴技术发展趋势展望 一、AI驱动攻击将成为主流二、量子计算威胁将初步显现三、云原生漏洞风险将持续攀升四、供应链攻击将成为APT组织的首选路径五、AI模型自身漏洞将成为新的攻击面 第五章 漏洞处置建议 第六章 总结 第七章 奇安信漏洞情报服务订阅 2025年度漏洞态势分析 一、漏洞数量统计与趋势 2025年是全球网络安全漏洞威胁“加速深化”的一年。2025年1月1日至12月31日期间，根据奇安信安全监测与响应中心（又称奇安信CERT）监测数据，新增漏洞47173个，较2024年（43757个）同比增长 7.8%，延续了近五年漏洞数量持续上升的态势。总高危、极危漏洞数量为21186个，占总量的44.9%。较2024年的17.8%大幅提升，反映技术生态复杂化带来的安全风险加剧。 根据奇安信CERT的基于多维度的筛选流程,对其中2084个高潜在威胁漏洞进行了人工研判。奇安信CERT认为本年度值得重点关注的漏洞共1483个 ，达到发布安全风险通告标准的漏洞共367个 ，并对其中80个漏洞进行深度分析。[1][2][3] 从月度分布看，漏洞披露呈现“双峰特征”：7月（4129个）因厂商年度安全更新集中披露漏洞，9月（4558个）因攻防演练攻击方情报收集需求，漏洞挖掘活动激增；攻击利用则集中在下半年（占全年56%），攻击者利用企业年末业务繁忙、补丁修复滞后的窗口期发起大规模攻击。 二、漏洞类型分布与威胁分析 2025年漏洞类型分布呈现明显的集中化特征，代码执行、信息泄露和拒绝服务仍是攻击者最常利用的三大类漏洞。其中远程代码执行（RCE）漏洞因危害极大成为重灾区，这类漏洞允许攻击者在未授权情况下远程操控系统，全年涉及多个关键应用系统和中间件。信息泄露类漏洞以SQL注入为代表，全年导致超过 100 起数据泄露事件，主要集中在国产OA系统和企业资源规划（ERP）系统等核心业务场景。拒绝服务类漏洞虽然危害相对较低，但其攻击范围广，破坏力强，全年占比约33.2%。对2025年新增的漏洞信息根据漏洞威胁类型进行分类总结，如图1-2所示： 从漏洞危害性来看，内存越界访问、不安全反序列化、权限提升等漏洞类型危害程度最高，全年占比超过60%。其中，内存越界访问漏洞被广泛利用，如Google Chrome沙箱逃逸漏洞(CVE-2025-2783)通过解析特制图像触发内存越界写入，实现无交互远程控制；不安全反序列化漏洞在APT攻击中被频繁利用，如Microsoft SharePoint 远程代码执行漏洞链(CVE-2025-53770/53771)通过 Toolpane 接口绕过身份验证，并结合不安全反序列化漏洞窃取加密密钥。企业对于此类漏洞需格外注意。 三、漏洞影响厂商与行业分布 将2025年新增的47173个条漏洞信息根据漏洞影响厂商进行分解，如图1-3所示： Linux、Amazon、开放源代码项目、Microsoft、WordPress、Apple、Google、Adobe、Mozilla、Oracle。Microsoft、Apple 等厂商因产品部署范围广、版本迭代快，漏洞数量庞大，且厂商每月定期发布安全补丁，成为企业漏洞处置的核心关注点。开源软件因广泛应用成为攻击重灾区，开源项目漏洞占比持续上升，主要因企业在云原生、AI 领域大量使用开源组件（如 Kubernetes、TensorFlow），攻击面显著扩大。 其中 Linux Kernel 漏洞增量最多，全年新增 Linux Kernel 漏洞超过4000个，主要集中在内存管理、系统调用等核心模块。Microsoft 漏洞主要集中在 Windows 系统、Office 套件和 SharePoint Server 等产品。谷歌Chrome 浏览器2025年修复了8个遭主动利用的0Day高危漏洞，平均CVSS评分达8.8分，主要集中在 V8JavaScript 和 WebAssembly 引擎、图形渲染层等核心组件。 2025年新增的漏洞中，有587个在NVD上没有相应的CVE编号，未被国外漏洞库收录，为国产软件漏洞，占比情况如图1-4所示。值得注意的是，2025年新增国产软件漏洞占比1.24%，较前两年数量明显增多。从行业分布来看，政府机构、金融领域、能源及关键基础设施成为攻击重点目标，全年有超过40%的漏洞被用于针对这些行业的定向攻击。其中，政府机构主要被 APT 组织利用漏洞实施定向攻击，如"夜鹰"组织利用Windows DWM 核心库权限提升漏洞(CVE-2024-30051)和 Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)横向渗透政府内网；金融领域成为勒索软件攻击的主要目标，如"PromptLock"勒索软件利用 AI 生成恶意 Lua 脚本绕过检测，攻击医疗、教育行业；能源领域则面临供应链攻击威胁，如"夜鹰"组织针对我国高科技、芯片半导体、量子技术、人工智能与大模型、军工等行业顶尖公司和单位进行网络攻击，目的以窃取情报为主。 四、关键漏洞占比情况 奇安信将0day、APT相关、发现在野利用、存在公开Exploit/PoC，且漏洞关联软件影响面较大的漏洞标记为“关键漏洞”。此类漏洞的技术细节或验证利用代码已在互联网上被公开，或已经发现在野攻击利用，且漏洞关联产品具有较大的影响面，综合来看威胁程度相对较高，需要重点关注。 2025年奇安信CERT共标记关键漏洞523个，占2025年新增漏洞的1.11%；存在公开Exploit/PoC漏洞数量为1161个，占2025年新增漏洞的2.46%；发现已有在野利用漏洞数量为187个，占2025年新增漏洞的0.40%；0day漏洞数量为12个，占2025年新增漏洞的0.03%；APT相关漏洞数量为3个，占2025年新增漏洞的0.01%。上述各类漏洞在2025年新增漏洞中占比情况如图1-5所示： 五、漏洞标签占比情况 为了更加有效的管控漏洞导致的风险，奇安信漏洞情报建立了全面的多维漏洞信息整合及属性标定机制，使用“关键漏洞”、“在野利用”、“PoC公开”、“影响量级”、“Botnet类型”、“攻击者名称”、“漏洞别名”等标签，标定漏洞相关的应用系统部署量、是否已经有了公开的技术细节、Exploit工具、概念验证代码（PoC）、是否已经出现野外利用、是否已经被已知的漏洞利用攻击包或大型的Botnet集成作为获取对系统控制途径等属性。涵盖的漏洞标签类别如图1-6所示： 标签体系可帮助企业快速定位“高风险-高影响”漏洞，例如标注“在野利用+千万级+APT相关”的漏洞，企业需在24小时内完成应急处置。 六、漏洞热度排名TOP 10 根据奇安信CERT全面的漏洞信息监测数据，总结2025年漏洞舆论热度榜TOP 10漏洞如下： 在2025年总热度舆论榜前十的漏洞中，热度最高的漏洞为React Server Components 远程代码执行漏洞(CVE-2025-55182)，漏洞别名为“React2Shell”。此漏洞主要影响 react-server-dom-webpack 的 ServerActions 功能。由于在解析客户端的 RSC 相关请求时缺少安全校验，攻击者可通过构造恶意请求，从而在服务器上执行任意代码，甚至完全接管服务；同时由于 Next.js 15.x 和 16.x 版本在使用 App Router 时，依赖了存在缺陷的 Reac