腾讯云安全中心推出2025年2月必修安全漏洞清单

原创 腾讯云安全中心 安全攻防团队 2025-03-14 09:45

所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，被黑客利用并发生入侵事件后，会造成十分严重的后果。

腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素，综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露，且被安全社区高度关注时，就将该漏洞列入必修安全漏洞候选清单。 

腾讯云安全中心定期发布安全漏洞必修清单，以此指引政企客户安全运维人员修复漏洞，从而避免重大损失。 
以下是2025年2月份必修安全漏洞清单：

‍‍‍
一、LlamaIndex SQL注入导致命令执行漏洞（CVE-2024-11958）

二、Anyscale Ray 命令执行漏洞
（CVE-2024-57000/CVE-2023-48022）

三、Palo Alto Networks PAN-OS Management 权限绕过
漏洞（CVE-2025-0108）

四、Windows 轻量级目录访问协议(LDAP) 远程代码执行
漏洞（CVE-2025-21376）

五、
PostgreSQL SQL注入
漏洞（CVE-2025-1094）

六、NAKIVO Backup & Replication 任意文件读取
漏洞（CVE-2024-48248）

‍‍‍

漏洞介绍及修复建议详见后文

一、LlamaIndex SQL 注入导致命令执行漏洞

---

---

概述：

腾讯云安全近期监测到关于LlamaIndex的风险公告，漏洞编号：TVD-2024-40423 (CVE编号：CVE-2024-11958)。成功利用此漏洞的攻击者，可获取服务器上的敏感数据，甚至远程执行任意命令。

LlamaIndex 是一个专为大型语言模型应用程序设计的开源数据框架，旨在帮助开发者高效集成、结构化及访问私有或特定领域数据，从而构建基于知识的智能应用。其核心功能包括数据连接器（支持从API、数据库、PDF等多样化数据源提取数据）、索引构建（将文本转换为特征向量并建立高效检索结构）、查询引擎（结合自然语言处理与上下文检索生成精准回答）以及智能代理系统（支持多工具调用与动态决策）。通过RAG（检索增强生成）技术，LlamaIndex 实现了索引构建与查询两阶段的优化，能够动态增强LLM对专有信息的处理能力，广泛应用于问答系统、聊天机器人和企业级数据分析场景。

据描述，该漏洞存在于LlamaIndex框架的duckdb_retriever模块中，由于SQL语句未采用预编译机制，导致存在SQL注入漏洞。攻击者可通过构造恶意SQL语句，利用该漏洞安装shellfs扩展，并进一步通过shellfs扩展在目标系统上执行任意命令。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	未发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	9.8

影响版本：

LlamaIndex < 0.12.3

修复建议：

1
.
官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/run-llama/llama_index/releases

1. 临时缓解方案：

2. 如无必要，避免开放至公网

3. 将访问限制为仅受信任的内部IP地址

二、Anyscale Ray 命令执行漏洞

---

---

---

---

概述：

腾讯云安全近期监测到关于Anyscale Ray的风险公告，漏洞编号为TVD-2024-39961 (CVE编号：CVE-2024-57000，CNNVD编号：CNNVD-202502-1178)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

Anyscale Ray 是一个开源的统一计算框架，专为简化分布式应用的开发与扩展而设计，支持从机器学习、实时数据处理到复杂工作流编排等场景。其核心组件包括Ray Core（提供跨集群的任务与对象分发能力）、Ray AI Runtime（集成分布式训练库如Ray Train、超参数调优工具Ray Tune及强化学习框架RLlib）以及Ray Serve（模型服务部署系统），支持Python开发者以极简API构建高吞吐、低延迟的分布式系统。Anyscale平台进一步提供企业级功能，如集群管理、安全监控和云原生集成，帮助用户高效运行大规模AI应用。

据描述，该漏洞源于Anyscale Ray中存在执行命令的功能，且未对此功能添加权限认证。未经授权的攻击者可以通过下发任务远程执行任意命令，最终获取服务器权限。

P.S. CVE-2024-57000和CVE-2023-48022是同一个漏洞，此漏洞一直未修复。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	未发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	9.8

影响版本：

Anyscale Ray <= 2.43.0（当前最新版本）

修复建议：

1. 官方暂未发布漏洞补丁及修复版本，请持续关注官方动态，待补丁或修复版本发布，评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/ray-project/ray/releases

1. 临时缓解方案：

2. 避免将
   Anyscale Ray开放至公网

3. 利用安全组设置仅对可信地址开放

三、Palo Alto Networks PAN-OS Management 权限绕过漏洞

---

---

---

---

概述：

腾讯云安全近期监测到Palo Alto Networks官方发布了关于PAN-OS Management的风险公告，漏洞编号为TVD-2025-5768 (CVE编号：CVE-2025-0108，CNNVD编号：CNNVD-202502-1359)。成功利用此漏洞的攻击者，最终可以绕过权限验证访问管理页面，执行恶意操作。

PAN-OS 是 Palo Alto Networks 开发的专有操作系统，用于其下一代防火墙（NGFW）和安全设备，提供网络流量监控、威胁防护、访问控制等功能。PAN-OS Management 是 PAN-OS 的管理接口，允许管理员通过 Web 界面或 API 对防火墙设备进行配置和管理（包括安全策略、网络设置、日志查看等操作）。该管理接口的Web 请求由三个独立的组件处理：Nginx、Apache和PHP应用，并在其中添加认证授权机制以确保安全访问。

据描述，该漏洞源于PAN-OS管理接口中的Nginx和Apache对请求路径处理存在差异导致认证绕过。攻击者可以构造恶意的请求，绕过身份认证进入后台，执行恶意操作。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	已发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	9.1

影响版本：

10.1.0 <= PAN OS < 10.1.14-h9

10.2.0 <= PAN OS < 10.2.13-h3

10.2.7 <= PAN OS < 10.2.7-h24

10.2.8 <= PAN OS < 10.2.8-h21

10.2.9 <= PAN OS < 10.2.9-h21

10.2.10 <= PAN OS < 10.2.10-h14

10.2.11 <= PAN OS < 10.2.11-h12

10.2.12 <= PAN OS < 10.2.12-h6

11.1.0 <= PAN OS < 11.1.6-h1

11.1.2 <= PAN OS < 11.1.2-h18

11.1.4 <= PAN OS < 11.1.4-h13

11.2.0<= PAN OS < 11.2.5

11.2.4 <= PAN OS < 11.2.4-h4

P.S: PAN-OS 11.0、PAN-OS 10.0、PAN-OS 9.1、PAN-OS 9.0 及更早版本已超过软件生命周期，可能受影响，但官方无修复计划。

修复建议：

1. 
官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://support.paloaltonetworks.com

https://security.paloaltonetworks.com/CVE-2025-0108

1. 临时缓解方案：

2. 利用安全组设置仅对可信地址开放，可参考官方文档：

https://live.paloaltonetworks.com/t5/community-blogs/critical-recommendations-for-deployment-guides-how-to-secure-the/ba-p/464431

四、Windows 轻量级目录访问协议(LDAP) 远程代码执行漏洞

---

概述：

腾讯云安全近期监测到Microsoft官方发布了关于Windows的风险公告，漏洞编号为TVD-2025-5576 (CVE编号：CVE-2025-21376，CNNVD编号：CNNVD-202502-1045)，成功利用此漏洞的攻击者，最终可远程执行任意代码。

Windows 轻量级目录访问协议（LDAP）是一种用于访问和管理目录服务的网络协议，主要用于查询和修改基于目录的信息，如用户、组、计算机等资源。在 Windows 环境中，LDAP 通常与 Active Directory（AD）结合使用，AD 是 Windows 的目录服务，用于存储和管理网络中的对象信息。LDAP 通过标准的 TCP/IP 协议通信，支持对目录数据的搜索、添加、删除和修改操作。其轻量级特性使其高效且易于集成，广泛应用于身份验证、权限管理和资源查找等场景，是 Windows 网络中不可或缺的核心技术之一。

据描述，该漏洞源于Windows LDAP存在代码缺陷，未经身份验证的攻击者可以利用条件竞争向易受攻击的LDAP服务器发送特制请求导致缓冲区溢出，从而实现远程代码执行。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	未公开
PoC	未公开
在野利用	未发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	中
漏洞评分	8.1

影响版本：

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 11 Version 23H2 for x64-based Systems

Windows 11 Version 23H2 for ARM64-based Systems

Windows 11 Version 24H2 for x64-based Systems

Windows 11 Version 24H2 for ARM64-based Systems

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2025 (Server Core installation)

Windows Server 2025

修复建议：

官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21376

五、PostgreSQL SQL注入漏洞

---

---

---

---

概述：

腾讯云安全近期监测到关于PostgreSQL的风险公告，漏洞编号为TVD-2025-5788 (CVE编号：CVE-2025-1094，CNNVD编号：CNNVD-202502-1495)，成功利用此漏洞的攻击者，最终可获取服务器上的敏感数据。

PostgreSQL是一个功能强大的开源对象关系型数据库管理系统，以其稳定性、可靠性和扩展性著称。它支持广泛的SQL标准和高级特性，如复杂查询、外键、触发器、视图、事务完整性和多版本并发控制（MVCC）。PostgreSQL允许用户自定义数据类型、函数和操作符，并提供了丰富的扩展接口，适用于各种复杂的应用场景，如数据分析、地理信息系统和Web服务。其活跃的全球开发社区不断推出新版本，持续改进性能和功能，使其成为企业级应用的首选数据库之一。

据描述，该漏洞源于PostgreSQL中libpq的多个函数对引号语法的错误转义处理，未授权的攻击者可在特定情况下进行SQL注入攻击，最终读取服务器上的敏感数据。

P.S：PostgreSQL命令行工具在特定字符编码环境下（如client_encoding为BIG5、server_encoding为EUC_TW或MULE_INTERNAL时）也受该漏洞影响。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	未发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	中
漏洞评分	8.1

影响版本：

13 <= PostgreSQL < 13.19

14 <= PostgreSQL < 14.16

15 <= PostgreSQL < 15.11

16 <= PostgreSQL < 16.7

17 <= PostgreSQL < 17.3

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/postgres/postgres/tags/

六、NAKIVO Backup & Replication任意文件读取漏洞

概述：

腾讯云安全近期监测到关于NAKIVO Backup & Replication的风险公告，漏洞编号为 TVD-2024-40747 (CVE编号：CVE-2024-48248，CNNVD编号：CNNVD-202503-489
)
。成功利用此漏洞的攻击者，最终可读取服务器上的任意敏感文件。

NAKIVO Backup & Replication 是一款专为虚拟化环境设计的备份与灾难恢复解决方案，适用于 VMware vSphere、Microsoft Hyper-V、Nutanix AHV、Amazon EC2、Windows/Linux 和 Microsoft 365 等多种平台。它提供全面的数据保护功能，包括虚拟机备份、复制、故障转移、备份到云、备份副本以及站点恢复等。NAKIVO Backup & Replication 以其高效、可靠和经济实惠的特点，广泛应用于中小企业市场，帮助用户保护虚拟化环境中的数据安全。

据描述，该漏洞源于NAKIVO Backup & Replication中的STPreLoadManagement类的getImageByPath方法未对用户传入的路径参数进行过滤处理，攻击者可以通过构造特制的请求读取任意文件，最终获取敏感信息。

漏洞状态：

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	未发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	中
利用难度	低
漏洞评分	8.6

影响版本：

NAKIVO Backup & Replication < 11.0.0.88174

修复建议：

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://www.nakivo.com/resources/download/trial-download/download/

1. 临时缓解方案：

2. 如无必要，避免开放至公网

3. 利用安全组设置仅对可信地址开放

*** 以上漏洞的修复建议，由安全专家审核并融合了AI生成的建议。**

*** 漏洞评分为腾讯云安全研究人员根据漏洞情况作出，仅供参考，具体漏洞细节请以原厂商或是相关漏洞平台公示为准。**

通用的漏洞修复、防御方案建议

腾讯云安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞，推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。

具体操作步骤可参考以下文章指引：
https://s.tencent.com/research/report/157

腾讯安全攻防团队 A&D Team

腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家，研究领域包含但不限于Web安全，主机安全，二进制安全，欢迎关注我们。

往期企业必修漏洞清单

• 2025年01月必修安全漏洞清单

• 2024年12月必修安全漏洞清单

• 2024年11月必修安全漏洞清单

• 2024年10月必修安全漏洞清单

• 2024年09月必修安全漏洞清单

• 2024年05月必修安全漏洞清单

• 2024年04月必修安全漏洞清单

• 2024年03月必修安全漏洞清单

• 2024年02月必修安全漏洞清单

• 2024年01月必修安全漏洞清单

• 2023年12月必修安全漏洞清单

• 2023年11月必修安全漏洞清单

• 2023年10月必修安全漏洞清单

• 2023年09月必修安全漏洞清单

• ‍2023年08月必修安全漏洞清单

• 2023年07月必修安全漏洞清单

• 2023年06月必修安全漏洞清单

• 2023年05月必修安全漏洞清单

• 2023年04月必修安全漏洞清单

• 2023年03月必修安全漏洞清单

• 2023年02月必修安全漏洞清单

• 2023年01月必修安全漏洞清单

• 2022年12月必修安全漏洞清单

• 2022年11月必修安全漏洞清单

• 2022年10月必修安全漏洞清单

• 2022年09月必修安全漏洞清单

• 2022年08月必修安全漏洞清单

• 2022年07月必修安全漏洞清单

• 2022年06月必修安全漏洞清单

• 2022年05月必修安全漏洞清单

• 2022年04月必修安全漏洞清单

• 2022年03月必修安全漏洞清单

• 2022年02月必修安全漏洞清单

• 2022年01月必修安全漏洞清单

• 2021年12月必修安全漏洞清单

• 2021年11月必修安全漏洞清单