2025年漏洞趋势分析报告

千里目安全技术中心 - 深瞳漏洞实验室 前言 随着全球数字化转型的持续推进与人工智能技术的深度融合，2025 年的网络安全形势呈现出更为复杂的攻防对抗格局。大模型基础设施的广泛部署与云原生的全面普及，在释放巨大生产力的同时，也构建了前所未有的攻击暴露面。漏洞作为网络攻防的核心焦点，其发现速度、利用效率与影响范围均达到新的历史高度。 本报告旨在系统性回顾 2025 年全球网络安全漏洞态势，通过对漏洞披露数据、国内外 0day 漏洞在野利用趋势以及开源软件供应链风险的深度剖析，揭示攻击技术的演进逻辑与防御体系的转型方向。报告涵盖全年漏洞总量统计、KEV（已知被利用漏洞）目录分析、年度五大热点漏洞深度分析复盘、全球及国产化场景 0day 漏洞趋势、AI 驱动的漏洞挖掘与防御模式，以及开源软件与LLM 供应链安全等维度。 我们希望通过本报告，为安全从业者、企业安全决策者及监管机构提供数据驱动的漏洞趋势洞察，助力构建从被动响应向主动防御、从单点修补向体系化治理演进的新型安全能力，以应对日益智能化、体系化的网络威胁。 声明 本报告除明确注明来源以外，数据均来自深信服千里目安全技术中心，目的仅为帮助客户及时了解中国或其他地区网络安全漏洞相关的最新动态和发展，仅供参考。 本报告中所含内容乃一般性信息，不应被视为任何意义上的决策意见或依据，任何深信服科技股份有限公司的关联机构、附属机构（统称为“深信服股份”）并不因此构成提供任何专业建议或服务。在作出任何可能影响您的财务或业务的决策或采取任何相关行动前，或您对本期《2025 年漏洞趋势分析报告》内容有任何问题与建议，可联系深信服官方。 目录 漏洞态势总体分析 01 安全漏洞态势01 漏洞公开披露情况漏洞利用情况0102 年度热点漏洞深度剖析04 React/Next.js 远程代码执行漏洞(CVE-2025-55182)某国产报表SQL注入漏洞某国产应用服务器远程代码执行漏洞Apache Tomcat 远程代码执行漏洞(CVE-2025-24813)Palo Alto Networks PAN-OS 身份验证绕过漏洞(CVE-2025-0108)0409121418 0day漏洞趋势总体分析21 全球0day漏洞在野利用态势21 国产化场景0day漏洞趋势分析23 0day漏洞防御与应对趋势24 构建主动安全体系（威胁狩猎能力）24 开源软件安全现状开源软件漏洞案例React远程代码执行漏洞 (CVE-2025-55182)Apache Tomcat 远程代码执行漏洞 (CVE-2025-24813)Linux sudo 本地提权漏洞 (CVE-2025-32463)新兴风险与攻击模式272929303031 深信服AI安全运营方案34 方案架构AI安全运营方案总体能力介绍实践案例343535 参考链接37 安全漏洞态势 漏洞公开披露情况 2016 年至 2025 年，全球网络安全漏洞的公开披露数量保持增长趋势。根据美国国家漏洞库（NVD）和中国国家信息安全漏洞库（CNNVD）的统计，近十年两大漏洞库的年度收录数量变化如图 1-1 所示。从整体趋势看，漏洞数量在前期平稳增长，而在 2023 年后增速明显加快。 2025 年，网络安全漏洞的发现与披露继续在高位运行。截至年底，国家信息安全漏洞库（CNNVD）全年收录漏洞 48367 条，美国国家漏洞库（NVD）收录 41382 条，两者均达到观测期内的历史最高水平。 漏洞利用情况 已知被利用漏洞情况 2025 年，KEV（已知被利用漏洞）目录作为全球漏洞修复优先级的关键指导，其权威性与影响力持续巩固。该目录遵循严格的收录原则，并因其被确立为美国联邦机构的强制性修复基准，已成为全球公认的威胁优先级事实标准参考。其核心价值在于将有限的防御资源精准导向已被在野利用的漏洞，从而系统化提升安全运营效率。 持续的运营实践验证了这一基于风险的治理模式的有效性。该目录通过聚焦于已验证在野利用的漏洞，为各类组织提供了清晰的行动优先级。CISA 指出，遵循 KEV 目录开展漏洞修复，其修复时间中位数远短于非 KEV 目录漏洞，修复速度快约3.5 倍，修复效率提升显著。截至 2025 年底，KEV 目录累计收录的漏洞总量已达 1338 个。历史数据显示，遵循该目录能有效引导全球海量组织的修复工作，并大幅缩短高危漏洞的暴露周期。 近十年漏洞利用情况 （一）数量趋势 聚焦于近十年（2016-2025 年）的漏洞收录与利用趋势（如图 1-2 所示），KEV 目录每年收录的漏洞数量呈现明显的阶段性变化。年度收录数量在 2021 年达到峰值（208 个）后，于 2022 年有所回落，随后在 2023 至 2025 年间保持在高位平稳波动。与此同时，已知被勒索软件利用的漏洞数量变化趋势与整体基本一致。其高峰同样出现在 2021 年（58 个），此后总体呈下降趋势。2025 年，KEV 目录中当年新收录并被确认由勒索软件利用的漏洞为 16 个。这一趋势表明，在勒索软件全球打击行动与强制性修复政策的双重作用下，勒索软件利用漏洞的活动强度受到一定制约。 （二）受影响厂商和产品情况 根据近十年 KEV 目录收录的 1301 个漏洞分析，受影响厂商排行前十情况如图 1-3 所示。2025 年，KEV 目录新增收录漏洞157 个，Microsoft 和 Apple 的漏洞最多，Microsoft 的漏洞高度集中于 Windows 操作系统；而 Apple 的漏洞中，有相当一部分会同时影响其旗下的多个产品（如 iOS、macOS 等）。 从漏洞收录的时段分布来看，各厂商面临的主要风险态势呈现明显差异。Microsoft 在近十年历史数据中累计被利用漏洞数 量 最 高（280 个），且 近 三 年 仍 新 增 86 个。进 一 步 聚 焦 近 三 年（2023-2025 年）的 新 增 数 据 可 以 发 现：Apple、Google、Ivanti 在此期间新增显著，显示出针对这些产品的漏洞利用活动正变得活跃。 根据对近十年产品维度漏洞利用数据的分析（如图 1-4 所示），攻击态势呈现出清晰的演进脉络：威胁焦点已系统性完成从广泛的历史技术遗产向现代核心数字基石的迁移，并正朝着复杂化与体系化的高级阶段发展。具体表现为，随着 AdobeFlash Player、旧版 Internet Explorer 等历史技术的淘汰，相关漏洞利用已逐渐淡出；而攻击重心则牢固锁定 Windows等核心操作系统与能够同时影响多款产品的漏洞，这标志着攻击活动正从针对单一目标，转向利用可扩大攻击面的共享技术或组件。 更深层次的演变在于攻击模式的复杂化与底层化。一方面，攻击链条日趋复杂，供应链漏洞利用事件的显著增加，表明单次 攻 击 往 往 横 跨 多 个 组 件。另 一 方 面，攻 击 深 度 向 系 统 底 层 渗 透，针 对 操 作 系 统 内 核 的 利 用 持 续 存 在，同 时 针 对Microsoft Exchange Server 等高价值系统的定向打击凸显了攻击的精准性。这些变化共同表明，攻击者正通过固守核心、拉长链条与深化权限，系统性地提升攻击效能。应对这一威胁，防御思路必须从单一漏洞修补，转向构建覆盖核心资产、供应链并能阻断复杂攻击链的体系化防护能力。 年度热点漏洞深度剖析 React/Next.js 远程代码执行漏洞(CVE-2025-55182) 漏洞介绍 漏洞描述 在 Next.js 的 App Router 架构中，由于未对经 React Flight 协议传输的序列化 JSON 对象进行安全校验，导致在 RSC(React Server Components，版本 19.0.0 至 19.2.0 版本 ) 反序列化了客户端由 Flight 协议传入的带有原型污染的序列化负载对象，最终在服务端触发 JavaScript 远程命令执行。 漏洞影响 2025 年 12 月 3 日，React 团队公开披露了编号为 CVE-2025-55182 的严重安全漏洞，该漏洞为 CVSS 评分高达 10.0 的满分漏洞，可见该漏洞具有危害范围广、攻击门槛低、利用效果直接且破坏性极强的显著特征。无需特定业务逻辑、无需用户交互、无需复杂前置条件，攻击者仅需向暴露的 RSC 接口发送精心构造的请求，即可在服务器端执行任意代码。 从影响对象来看，该漏洞并非局限于单一产品或组件，而是横向波及整个现代前端框架生态，安全影响呈现出明显的“链式放大效应”。由于 Next.js、React Server Components 已成为主流 Web 应用的基础架构，大量互联网业务系统在不知情的情况下处于高风险暴露状态。 据 Shadowserver 的统计，超过 77,000 个 IP 地址易受此漏洞影响。 全球受影响域名数量超过 644,000 个，近 39% 的云环境可能包含易受该漏洞影响的实例。 受影响资产类型覆盖科研，医疗，金融，政府和公共部门等重要行业领域。 一旦漏洞被成功利用，攻击者可直接获取 Web 服务的执行权限，进一步实施后门植入、恶意程序投放、横向移动、云资源滥用甚至供应链攻击，对业务系统的机密性、完整性和可用性造成毁灭性影响。 影响版本 以 下 三 个 核 心 软 件 包 的 19.0.0、19.1.0、19.1.1 及 19.2.0 版 本 均 存 在 该 漏 洞：react-server-dom-parcel、react-server-dom-webpack、react-server-dom-turbopack。 由于上述软件包被多款主流框架及打包工具嵌入或依赖，其影响范围进一步扩大，其中 Next.js 受影响版本覆盖 14.x（高于 14.3.0-canary.77）、15.0.x（低于 15.0.5）、15.1.x（低于 15.1.9）、15.2.x（低于 15.2.6）、15.3.x（低于 15.3.6）、15.4.x（低于 15.4.8）、15.5.x（低 于 15.5.7）、16.0.x（低 于 16.0.7）以 及 Vite、Parcel、React Router、RedwoodSDK、Waku 等支持 React 服务器组件实现的框架与插件。 漏洞分析 环境：Dify（1.10.0） 对于 Dify 我们发送一个请求，会先过一下中间件文件 middleware.ts（以下分析忽略）。走完中间件后，就发送到 Next.jsServer Actions 处理。当数据传入 Next.js 后端，首先看到函数 handleAction 进行请求的处理： 这里的 _serveractionrequestmeta.getServerActionRequestMetadata 位置在 server-action-request-meta.js 会获取请求中的一些元数据（如下图） 此时处理好元数据之后，如果判断可能是一个 Server Action 请求就会继续往下执行，否则直接返回 null。直接看下面比较关键的代码环节： 然后这里可以看到从 react-server.node.js 模块导入几个关键的函数，包括 decodeReplyFromBusboy。接着看下面代码流程，可见先判断上述获取的元数据 isMultipartAction（Content-Type: multipart/form-data），且为 FetchAction，最后将获取到的表单数据传入 decodeReplyFromBusboy，这个反序列化引擎的主入口。 function decodeReplyFromBusboy(busboyStream: Busboy,webpackMap: ServerManifest,options?: {temporaryReferences?: Te