腾讯云安全中心推出2025年3月必修安全漏洞清单
腾讯云安全中心推出2025年3月必修安全漏洞清单
原创 腾讯云安全中心 安全攻防团队 2025-04-16 08:03
所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯云安全中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2025年3月份必修安全漏洞清单
:
一、Vite 任意文件读取漏洞(CVE-2025-30208)
二、Kubernetes Ingress-nginx 远程代码执行漏洞
(CVE-2025-1974)
三、Apache Tomcat 远程代码执行
漏洞(
CVE-2025-24813)
四、Next.js 中间件授权绕过
漏洞(CVE-2025-29927)
五、FlowiseAI Flowise 文件上传
漏洞(CVE-2025-26319)
六、CrushFTP 认证绕过
漏洞(CVE-2025-31161/CVE-2025-2825)
七、Windows文件资源管理器欺骗漏洞(CVE-2025-24071)
八、Apache OFBiz 远程代码执行
漏洞(CVE-2025-26865)
漏洞介绍及修复建议详见后文
一、Vite任意文件读取漏洞
概述:
腾讯云安全近期监测到关于
Vite
的风险公告,漏洞编号为:
TVD-2025-8767 (CVE
编号:
CVE-2025-30208
,
CNNVD
编号:
CNNVD-202503-2801)
。成功利用此漏洞的攻击者,最终可读取服务器上的任意敏感文件。
Vite
是一个面向现代
Web
开发的轻量级前端构建工具,由
Vue.js
作者尤雨溪创建,旨在提供极速的开发体验。它利用浏览器原生
ES
模块的特性,在开发阶段跳过传统打包流程,实现近乎瞬时的服务器启动和模块热更新;而在生产环境则基于
Rollup
进行高效打包,确保代码优化。
Vite
以简洁、高性能为核心,支持
Vue
、
React
等主流框架,成为新一代前端工具链中的热门选择。
据描述,该漏洞源于
Vite
提供了
@fs
模块用于访问服务允许范围内的文件,但该模块的文件路径处理逻辑存在缺陷,攻击者可以构造特制的请求绕过访问限制,从而访问服务器上的任意敏感文件。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Vite < 4.5.10
5.0.0 <= Vite < 5.4.15
6.0.0 <= Vite < 6.0.12
6.1.0 <= Vite < 6.1.2
6.2.0 <= Vite < 6.2.3
P.S. 近期陆续出现了针对CVE-2025-30208修复的多个绕过漏洞(CVE-2025-31125, CVE-2025-31486, CVE-2025-32395),建议尽快升级到官方发布的最新版本。
修复建议:
1
.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/vitejs/vite/releases/
- 临时缓解方案:
–
避免服务暴露在外网。
–
使用防火墙或网络配置来限制访问,如只允许特定的
IP
地址或网络段访问。
二、Kubernetes Ingress-nginx远程代码执行漏洞
概述:
腾讯云安全近期监测到
Kubernetes
官方发布了关于
Kubernetes Ingress-nginx
的风险公告,漏洞编号为
TVD-2025-8798 (CVE
编号:
CVE-2025-1974
,
CNNVD
编号:
CNNVD-202503-2826)
。成功利用此漏洞的攻击者,最终可以远程执行任意代码。
Kubernetes Ingress-nginx
是一个基于
NGINX
的
Ingress
控制器,用于在
Kubernetes
集群中管理外部访问服务。它通过定义
Ingress
资源规则,将
HTTP/HTTPS
流量路由到不同的后端服务,并提供负载均衡、
SSL/TLS
终止、路径匹配和基于域名的虚拟主机等功能。
Ingress-NGINX
由
Kubernetes
社区维护,是
Kubernetes
生态中最常用的
Ingress
实现之一,支持灵活的流量管理、灰度发布和自定义配置,适用于生产环境中的高可用
Web
服务部署。
据描述,该漏洞源于
Kubernetes Ingress-nginx
在准入控制器的配置验证阶段存在未授权访问与配置注入漏洞,未经验证的
攻击者可以将恶意载荷直接发送到准入控制器,从而注入任意
nginx
配置,最终远程执行代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Kubernetes Ingress-nginx <= 1.11.4
1.12.0 <= Kubernetes Ingress-nginx < 1.12.1
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/kubernetes/ingress-nginx/releases
- 临时缓解方案:
–
对
Admission Controller
进行访问控制。
–
在不影响业务的情况下,关闭
Ingress-nginx
的验证注册控制器功能。
1)
对于使用
Helm
安装的
Ingress-nginx
,重新安装并设置
Helm
属性为”
controller.admissionWebhooks.enabled=false”
2)
对于手动安装的
Ingress-nginx
,删除名为
ingress-nginx-admission
的
ValidatingWebhook
配置。编辑
ingress-nginx-controller
的
Deployment
或
Daemonset
,从控制器容器的参数列表中删除”
–validating-webhook”
三、Apache Tomcat远程代码执行漏洞
概述:
腾讯云安全近期监测到
Apache
官方发布了关于
Tomcat
的风险公告,漏洞编号为
TVD-2025-7626 (CVE
编号:
CVE-2025-24813
,
CNNVD
编号:
CNNVD-202503-1068)
。成功利用此漏洞的攻击者,最终可以远程执行任意代码。
Apache Tomcat
是由
Apache
软件基金会开发的开源
Java Servlet
容器和
Web
服务器,主要用于部署和运行基于
Servlet
、
JSP
(
JavaServer Pages
)等技术的动态
Web
应用。作为轻量级应用服务器,它通过核心组件
Catalina
(
Servlet
容器)
和
Coyote
(
HTTP
连接器)
实现请求处理,支持
HTTP/HTTPS
协议,并能与
Nginx
或
Apache HTTP Server
配合提升静态资源处理能力。
据描述,该漏洞源于
Tomcat
在处理
Partial PUT
请求时存在路径校验缺陷,当
Tomcat
服务器满足以下几个条件:
–
启用
partial PUT
功能
–
启用
DefaultServlet
写入功能
–
使用了基于文件的
Session
持久化机制,并且使用了默认的会话存储位置
–
应用中包含存在反序列化漏洞的库
攻击者可利用该漏洞覆盖
Session
文件,并通过存在反序列化漏洞的依赖库触发恶意代码执行,最终实现远程控制服务器。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
9.0.0.M1 <=ApacheTomcat <=9.0.98****
10.1.0-M1 <=ApacheTomcat <=10.1.34****
11.0.0-M1 <=ApacheTomcat <=11.0.2
修复建议:
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://tomcat.apache.org/
- 临时缓解方案:
–
将
org.apache.catalina.session.PersistentManager
设置为
false
–
关闭
partial PUT
功能,关闭
DefaultServlet
的写入功能
四、Next.js 中间件授权绕过漏洞
概述:
腾讯云安全近期监测到关于
Next.js
的风险公告,漏洞编号为
TVD-2025-8557 (CVE
编号:
CVE-2025-29927
,
CNNVD
编号:
CNNVD-202503-2583)
,成功利用此漏洞的攻击者,最终绕过权限校验,访问受限资源。
Next.js
是由
Vercel
开发的
React
框架,专为构建高性能、可扩展的
Web
应用而设计。它支持服务端渲染(
SSR
)和静态站点生成(
SSG
),通过自动代码拆分、文件系统路由、内置
CSS/Sass
支持及
API
路由等功能优化开发流程。
Next.js
允许开发者以极简配置实现快速首屏加载、提升
SEO
效果,并支持混合渲染模式(如
Server Actions
)和增量静态再生(
ISR
),进一步平衡性能与内容时效性。
据描述,该漏洞源于
Next.js
未对
x-middleware-subrequest
头部的来源进行验证,外部用户可直接利用该请求头访问受保护资源,未授权访问后台管理页面等敏感页面。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
11.1.4 <=Next.js <= 13.5.6****
14.0.0 <=Next.js <= 14.2.24****
15.0.0 <=Next.js <= 15.2.2
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/vercel/next.js/releases
- 临时缓解方案:
–
阻止包含
x-middleware-subrequest
头的外部用户请求
五、FlowiseAI Flowise文件上传漏洞
概述:
腾讯云安全近期监测到关于
Flowise
的风险公告,漏洞编号为
TVD-2025-7278 (CVE
编号:
CVE-2025-26319
,
CNNVD
编号:
CNNVD-202503-557)
。成功利用此漏洞的攻击者,最终可上传任意文件,远程执行代码。
Flowise
是一款基于
LangChain.js
的开源低代码工具,旨在帮助开发者快速构建和部署大语言模型(
LLM
)应用。它提供直观的
拖拽式可视化界面
,让用户无需编写代码即可搭建复杂的工作流,如
智能客服、文档问答机器人、自动化流程
等。
Flowise
支持
Docker
和
npm
一键部署,适用于
开发测试、中小型生产环境
,并能轻松与
Spring Boot
等后端框架集成,大幅降低
AI
应用的开发门槛,让
LLM
技术的落地更加高效便捷。
据描述,在
Flowise
的
/api/v1/attachments
接口(系统白名单路由,无需进行身份验证)中的上传校验机制存在缺陷,未经身份验证的远程攻击者可构造特制的请求上传恶意文件,最终远程执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Flowise <
2.2.7-patch.1
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/FlowiseAI/Flowise/releases
- 临时缓解方案:
–
如非必要,不对公网开放相关服务。
–
使用防火墙、安全组白名单等措施,对相关服务进行访问限制。
六、CrushFTP认证绕过漏洞
概述:
腾讯云安全近期监测到关于
CrushFTP
的风险公告,漏洞编号为
TVD-2025-9013 (CVE
编号:
CVE-2025-31161/CVE-2025-2825
,
CNNVD
编号:
CNNVD-202504-693
/ CNNVD-202503-3102)
。成功利用此漏洞的攻击者,最终可绕过权限限制访问受限页面。
CrushFTP
是一款功能强大的跨平台文件传输服务器软件,支持包括
FTP
、
FTPS
、
SFTP
、
HTTP/HTTPS
和
WebDAV
在内的多种协议,为用户提供统一便捷的文件管理体验。它拥有直观的
Web
界面,支持拖拽上传
/
下载、批量操作和多语言适配,同时具备企业级安全防护,如端到端加密、
IP
过滤、多因素认证和自动
DDoS
防御,确保数据传输安全可靠。此外,其创新的流式压缩技术能在传输过程中动态压缩和解压文件,大幅提升大文件传输效率,是个人和企业高效管理文件传输的理想选择。
据描述,该漏洞源于
CrushFTP
的身份验证代码存在缺陷,攻击者可通过发送带有特殊
header
的请求绕过认证机制获取管理员权限,进而获取敏感信息或执行其他恶意操作。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
10.0.0 <= CrushFTP <= 10.8.3
11.0.0 <= CrushFTP <= 11.3.0
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.crushftp.com/crush11wiki/Wiki.jsp?page=Update
- 临时缓解方案:
–
在不影响正常业务的情况下,建议
CrushFTP
实例前部署
DMZ
(隔离区)
。
七、Windows文件资源管理器欺骗漏洞
概述:
腾讯云安全近期监测到
Microsoft
官方发布了关于
Windows
文件资源管理器的风险公告,漏洞编号为
TVD-2025-7758 (CVE
编号:
CVE-2025-24071
,
CNNVD
编号:
CNNVD-202503-1261)
。成功利用此漏洞的攻击者,最终可获取用户的
NTLMv2
哈希
。
Windows
文件资源管理器是
Windows
操作系统中的一个核心组件,主要用于管理和浏览计算机中的文件、文件夹、驱动器以及其他存储设备。它是用户与文件系统交互的主要图形界面工具。
由于
Windows
文件资源管理器在解压包含特制
.library-ms
文件的
RAR/ZIP
存档时会自动解析文件中的恶意
SMB
路径,攻击者可以构造恶意压缩文件诱导受害者点击触发隐式的
NTLM
认证握手,受害者的
NTLMv2
哈希将会被发送到攻击者控制的
SMB
服务器。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server 2022
Windows Server 2022 (Server Core installation)
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025
Windows Server 2025 (Server Core installation)
Windows 10 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 11 Version 23H2 for x64-based Systems
Windows 11 Version 23H2 for ARM64-based Systems
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-24071
八、Apache OFBiz 远程代码执行漏洞
概述:
腾讯云安全近期监测到
Apache
官方发布了关于
OFBiz
的风险公告,漏洞编号为
TVD-2025-7615 (CVE
编号:
CVE-2025-26865
,
CNNVD
编号:
CNNVD-202503-1049)
。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Apache OFBiz
是一款基于
Java
技术构建的开源企业资源规划(
ERP
)系统,由
Apache
软件基金会维护。它采用模块化架构设计,集成了企业运营所需的财务、供应链、制造、库存管理、电子商务和客户关系管理(
CRM
)等核心功能模块。该系统采用分层架构设计,表示层支持
JSP/FreeMarker
,业务层通过服务引擎实现逻辑处理,数据层以关系型方式访问数据库。此外,
Apache OFBiz
具有高度可扩展性,允许用户通过二次开发接口灵活定制业务逻辑或添加新模块,满足企业个性化需求。
Apache OFBiz
中存在代码缺陷,未经身份验证的远程攻击者可通过发送特制的请求触发服务器端模板注入,利用该漏洞在
Ecommerce
组件中执行任意代码,最终获取服务器权限。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
18.12.17 < Apache OFBiz < 18.12.18
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://ofbiz.apache.org/download.html
- 临时缓解方案:
–
如无必要,避免开放至公网
–
利用安全组设置仅对可信地址开放
*** 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。**
*** 漏洞评分为腾讯云安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。**
通用的漏洞修复、防御方案建议
腾讯云安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:
https://s.tencent.com/research/report/157
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单
– 2025年02月必修安全漏洞清单
-
2025年01月必修安全漏洞清单
-
2024年12月必修安全漏洞清单
-
2024年11月必修安全漏洞清单
-
2024年10月必修安全漏洞清单
-
2024年09月必修安全漏洞清单
-
2024年05月必修安全漏洞清单
-
2024年04月必修安全漏洞清单
-
2024年03月必修安全漏洞清单
-
2024年02月必修安全漏洞清单
-
2024年01月必修安全漏洞清单
-
2023年12月必修安全漏洞清单
-
2023年11月必修安全漏洞清单
-
2023年10月必修安全漏洞清单
-
2023年09月必修安全漏洞清单
-
2023年08月必修安全漏洞清单
-
2023年07月必修安全漏洞清单
-
2023年06月必修安全漏洞清单
-
2023年05月必修安全漏洞清单
-
2023年04月必修安全漏洞清单
-
2023年03月必修安全漏洞清单
-
2023年02月必修安全漏洞清单
-
2023年01月必修安全漏洞清单
-
2022年12月必修安全漏洞清单
-
2022年11月必修安全漏洞清单
-
2022年10月必修安全漏洞清单
-
2022年09月必修安全漏洞清单
-
2022年08月必修安全漏洞清单
-
2022年07月必修安全漏洞清单
-
2022年06月必修安全漏洞清单
-
2022年05月必修安全漏洞清单
-
2022年04月必修安全漏洞清单
-
2022年03月必修安全漏洞清单
-
2022年02月必修安全漏洞清单
-
2022年01月必修安全漏洞清单
-
2021年12月必修安全漏洞清单
-
2021年11月必修安全漏洞清单