2025年4月企业必修安全漏洞清单

腾讯安全 2025-05-19 10:15

前言

所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，被黑客利用并发生入侵事件后，会造成十分严重的后果。

腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素，综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露，且被安全社区高度关注时，就将该漏洞列入必修安全漏洞候选清单。

腾讯云安全中心定期发布安全漏洞必修清单，以此指引企业安全运维人员修复漏洞，从而避免重大损失。
以下是2025年4月份必修安全漏洞清单：

一、Vite 任意文件读取漏洞（CVE-2025-31486）

二、Vite 任意文件读取漏洞（CVE-2025-32395）

三、Langflow 远程代码执行漏洞（CVE-2025-3248）

四、Dify 任意密码重置漏洞（CVE-2024-12776）

五、Microsoft Telnet Server MS-TNAP 身份认证绕过漏洞（TVD-2025-14517）

六、Ivanti多款产品 远程代码执行漏洞（CVE-2025-22457）

七、SAP NetWeaver 任意文件上传漏洞（CVE-2025-31324）

八、BentoML 远程代码执行漏洞（CVE-2025-32375）

九、Craft CMS远程代码执行漏洞（CVE-2025-32432）

十、Erlang/OTP SSH 远程代码执行漏洞（CVE-2025-32433） 

漏洞介绍及修复建议详见后文

一

Vite任意文件读取漏洞

漏洞概述

腾讯云安全近期监测到关于
Vite
的风险公告，漏洞编号：
TVD-2025-10018 (CVE
编号：
CVE-2025-31486
，
CNNVD
编号：
CNNVD-202504-684)
。成功利用此漏洞的攻击者，最终可读取服务器上的任意敏感文件。

Vite 
是一款面向现代前端开发的高性能构建工具，其创新性地利用浏览器原生
 ES 
模块（
ESM
）支持，彻底重构了传统前端开发流程。通过独特的按需编译机制，
Vite 
在开发模式下摒弃了传统打包方案，转而采用浏览器原生模块加载方式，不仅实现了毫秒级的热更新（
HMR
）响应和极速的服务器启动，还完美支持
 Vue
、
React
、
Svelte 
等主流框架，并原生集成
 TypeScript
、
CSS 
预处理器等现代化开发功能。在生产环境构建方面，
Vite 
基于
 Rollup 
进行深度优化，确保最终输出的静态资源具有卓越的性能表现，为开发者提供从开发到部署的全流程高效解决方案。

据描述，该漏洞源于
Vite
开发服务器在处理特定
URL
请求时，未对路径进行严格的校验，攻击者可通过构造包含特殊字符的恶意请求绕过路径访问限制，读取服务器上的任意文件。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	已发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	8.5

影响版本

Viet <= 4.5.11

5.0.0 <= Vite <= 5.4.16

6.0.0 <= Vite <= 6.0.13

6.1.0 <= Vite <= 6.1.3

6.2.0 <= Vite <= 6.2.4

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/vitejs/vite/releases

1. 临时缓解方案：

2. 只有明确将 Vite开发服务器公开（使用 --host 或server.host 配置选项）的应用程序才会受到该漏洞影响，启用vite服务器时去掉–host参数或在server.host配置处取消公网开放

3. 配置防火墙或网络规则，仅允许特定IP地址或IP段访问

二

Vite任意文件读取漏洞

漏洞概述

腾讯云安全近期监测到关于
Vite
的风险公告，漏洞编号：
TVD-2025-11706 (CVE
编号：
CVE-2025-32395
，
CNNVD
编号：
CNNVD-202504-1820)
。成功利用此漏洞的攻击者，最终可读取服务器上的任意敏感文件。

当
Vite
开发服务器运行在
Node.js
或
Bun
上时，由于
Node.js/Bun
的
HTTP
实现未严格遵循
RFC 9112
规范，允许包含

的非法请求透传到应用层，而
Vite
开发服务器错误假设
req.url
不会包含

，攻击者可通过构造包含

的请求绕过
server.fs.deny
文件访问限制，从而读取系统任意文件。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	已发现

风险等级：

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	8.5

影响版本

Vite <= 4.5.12

5.0.0 <= Vite <= 5.4.17

6.0.0 <= Vite <= 6.0.14

6.1.0 <= Vite <= 6.1.4

6.2.0 <= Vite <= 6.2.5

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/vitejs/vite/releases

2. 
临时缓解方案：

• 只有明确将
   Vite
  开发服务器公开（使用
  --host 
  或
  server.host 
  配置选项）的应用程序才会受到该漏洞影响，启用
  vite
  服务器时去掉
  –host
  参数或在
  server.host
  配置处取消公网开放

• 避免在非
  Deno
  环境（例如
  Node
  、
  Bun
  ）上运行
  Vite
  开发服务器

• 配置防火墙或网络规则，仅允许特定
  IP
  地址或
  IP
  段访问

三

Langflow远程代码执行漏洞

漏洞概述

腾讯云安全近期监测到关于Langflow的风险公告，漏洞编号为TVD-2025-11026 (CVE编号：CVE-2025-3248，CNNVD编号：CNNVD-202504-1135)，成功利用此漏洞的攻击者，最终可远程执
行代码。

Langflow 是一款基于 Python 开发的开源低代码可视化 
AI 应用构建平台，专为简化复杂 AI 工作流的开发流程而设计。该平台通过直观的拖放式组件界面，使开发者能够快速构建和部署各类 AI 应用，包括智能聊天机器人、文档分析系统和自动化内容生成工具等。其核心架构支持多智能体协同管理、基于向量数据库的 RAG（检索增强生成）技术实现高效语义检索，并提供灵活的部署选项，既可在主流云平台运行，也可本地部署，同时支持将工作流导出为 API 或 Python 应用程序。Langflow特别强调企业级特性，在保持低代码易用性的同时，允许通过 Python 代码深度定制组件，确保满足不同规模企业的安全性要求和扩展性需求，为 AI 应用开发提供了从原型设计到生产部署的完整解决方案。

据描述，该漏洞源于Langflow的/api/v1/validate/code接口未设置任何身份验证机制，接口直接调用 Python的exec()函数执行用户输入且未对输入内容进行危险操作过滤，攻击者可构造特殊请求远程执行代码，最终获取服务器权限。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	已发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	9.8

影响版本

L
angflow < 1.3.0

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/langflow-ai/langflow/releases/

1. 临时缓解方案：

2. 利用安全组设置仅对可信地址开放

3. 为该接口设置鉴权

四

Dify任意密码重置漏洞

漏洞概述

腾讯云安全近期监测到关于Dify的风险公告，漏洞编号为TVD-2024-41101 (CVE编号：CVE-2024-12776，CNNVD编号：CNNVD-202503-2296)，成功利用此漏洞的攻击者，最终可重置任意密码，获取管理员权限。

Dify 是一款开源的生成式AI应用开发平台，支持通过低代码/无代码方式快速构建和部署基于大语言模型的应用程序。其核心功能包括可视化AI工作流编排、RAG管道、智能体开发及多模态工具集成，提供从Prompt设计到模型管理的全流程支持。平台支持私有化部署，确保数据隐私，并兼容多种模型服务商，适用于构建聊天助手、智能客服、网页分析等场景，尤其适合需要灵活扩展与安全可控的企业级应用。

当用户请求密码重置时，Dify会生成令牌并通过邮件发送验证码，当用户被重定向至验证页面调用/forgot-password/validity 接口完成校验后，重置端点 /forgot-password/resets 却未验证请求来源，攻击者可绕过邮箱验证环节直接访问该接口，最终重置任意用户密码。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	未发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	中
利用难度	低
漏洞评分	8.1

影响版本

Dify <= 1.3.1

修复建议

1. 官方暂未发布漏洞补丁及修复版本，请持续关注官方公告，待修复版本发布评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/langgenius/dify/releases

2. 
临时缓解方案：

• 如无必要，避免暴露至公网

• 利用安全组设置仅对可信地址开放

五

Microsoft Telnet Server 

MS-TNAP 身份认证绕过漏洞

漏洞概述

腾讯云安全近期监测到关于Microsoft Telnet Server MS-TNAP的风险公告，漏洞编号为 TVD-2025-14517。成功利用此漏洞的攻击者，可绕过身份验证，获取管理员权限。

Telnet 协议是 TCP/IP 协议族中的一种，是 Internet 远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。而 MS-TNAP（Microsoft Telnet Server Authentication Protocol）是微软为 Telnet 服务器开发的认证扩展协议，基于 NTLM 增强安全性。

据描述，在Telnet服务器的MS-TNAP中，由于服务端在NTLM认证过程中错误配置了 SECPKG_CRED_BOTH和ASC_REQ_MUTUAL_AUTH 标志，导致认证流程出现逻辑缺陷，攻击者可通过构造恶意的MS-TNAP协议数据包实现反转认证方向，使服务端错误地验证自身身份而非客户端，最终造成完全的身份验证绕过，使攻击者无需任何凭证即可获得管理员权限的Telnet会话访问。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	未发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	9.8

---

影响版本

---

Windows 2000****

Windows XP****

Windows Vista****

Windows 7****

Windows Server 2003****

Windows Server 2008****

Windows Server 2008 R2

---

修复建议

1. 官方暂未发布漏洞补丁及修复版本，请持续关注官方公告，待修复版本发布评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://msrc.microsoft.com/update-guide

1. 临时缓解方案：

2. 禁用 Telnet 服务器服务

3. 限制 Telnet 端口的访问来源，仅允许可信 IP 或内网访问

4. 使用应用程序控制来阻止未经授权的 Telnet 客户端连接

六

Ivanti多款产品

远程代码执行漏洞

漏洞概述

腾讯云安全近期监测到
Ivanti官方发布了关于Ivanti多款产品的风险公告，漏洞编号为TVD-2025-10575 (CVE编号：CVE-2025-22457，CNNVD编号：CNNVD-202504-663)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

Ivanti Connect Secure 是 Ivanti 公司推出的企业级 SSL VPN 安全解决方案，致力于为现代企业提供全方位的远程安全接入服务。该解决方案集成了多因素认证、端到端流量加密和集中式访问管理等核心安全功能，并通过持续的技术迭代显著增强了零信任安全能力，有效应对日益复杂的网络威胁环境。作为其前身产品，Pulse Connect Secure 曾为企业提供远程用户安全接入服务，目前该产品线已进入生命周期末期；Ivanti Policy Secure 策略管理组件，通过与 Connect Secure 深度集成，实现细粒度的访问控制策略分发与执行；Ivanti ZTA Gateways 基于零信任架构（Zero Trust Architecture）设计，专注于强化网络边界防护与动态访问授权能力，并支持自动化安全运维流程，为企业构建起完整的自适应安全防护体系。

据描述，该漏洞源于Ivanti上述产品存在代码缺陷，未经身份验证的远程攻击者可发送特制的请求触发堆栈缓冲区溢出，最终远程执行任意代码。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	已发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	9.8

---

影响版本

---

Ivanti Connect Secure <= 22.7R2.5****

Ivanti ZTA Gateways <= 22.8R2****

Ivanti Policy Secure <= 22.7R1.4

Pulse Connect Secure (EoS) <=
9.1R18.9

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US

P.S. 针对Pulse Connect Secure 9.1用户，官方已不再提供支持和安全更新，建议用户联系Ivanti迁移至安全平台

1. 临时缓解方案：

2. 如无必要，避免开放至公网

3. 利用安全组设置仅对可信地址开放

七

SAP NetWeaver 

任意文件上传漏洞

漏洞概述

腾讯云安全近期监测到关于
SAPNetWeaver的风险公告，漏洞编号为TVD-2025-13440 (CVE编号：CVE-2025-31324，CNNVD编号：CNNVD-202504-3657)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

SAP NetWeaver 是德国 SAP 公司推出的一套企业级技术平台，主要用于构建、集成和运行 SAP 及第三方业务应用程序。它扮演着 SAP 生态系统中的“技术底座”角色，类似于微软的 .NET或 Java EE 平台，但专为企业级 ERP、CRM 等 SAP 解决方案设计。

据描述，在 SAP NetWeaver 的 Visual Composer 组件的 Metadata Uploader 功能中，由于缺失授权验证，导致未经身份验证的远程攻击者可利用元数据上传接口上传恶意文件，从而造成远程任意代码的执行。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	已发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	10

---

影响版本

SAP NetWeaver Visual Composer <= 7.5.0

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://me.sap.com/notes/3594142

1. 临时缓解方案：

2. 不影响正常业务的情况下关闭 Visual Composer 组件

3. 限制对/developmentserver/metadatauploader 接口的访问

八

BentoML远程代码执行漏洞

漏洞概述

腾讯云安全近期监测到关于
BentoML的风险公告，漏洞编号为TVD-2025-11492 (CVE编号：CVE-2025-32375，CNNVD编号：CNNVD-202504-1577)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

BentoML是一个开源的Python框架，专注于机器学习模型的工业化部署与管理，通过提供模型打包、版本控制、自动化API服务构建及多环境部署能力，帮助开发者将训练好的模型快速转化为可扩展的生产级服务。其核心功能包括支持TensorFlow、PyTorch、Scikit-Learn等主流框架的模型封装，生成REST/gRPC API服务，集成模型优化技术（如ONNX运行时加速），并通过Yatai平台实现Kubernetes集群的大规模部署。

据描述，该漏洞源于runner_app.py文件中的_deserialize_single_param函数存在反序列化漏洞，攻击者可以通过构造恶意请求发送触发反序列化，最终远程执行任意代码。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	未发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	9.8

---

影响版本

1.0.0 <= BentoML < 1.4.8

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/bentoml/BentoML/releases

1. 临时缓解方案：

2. 如无必要，避免开放至公网

3. 利用安全组设置仅对可信地址开放

九

Craft CMS 远程代码执行漏洞

漏洞概述

腾讯云安全近期监测到
Ivanti官方发布了关于Craft CMS的风险公告，漏洞编号为TVD-2025-13538 (CVE编号：CVE-2025-32432，CNNVD编号：CNNVD-202504-3719)。成功利用此漏洞的攻击者，最终可远程执行任意代码。

Craft CMS 是一款基于 PHP 和 Yii2 框架开发的企业级开源内容管理系统，专为构建高度定制化的数字体验平台而设计。该系统采用现代化的架构理念，通过无预设内容建模、基于 Twig 的模板引擎以及自动生成的 GraphQL API 等核心功能，为开发者与内容创作者提供了从企业官网、电子商务平台到无头应用的全场景解决方案。在技术实现上，Craft CMS 采用 Composer 进行高效的依赖管理，支持 MySQL 和 PostgreSQL 等多种数据库引擎，并通过丰富的插件商店提供数百个功能扩展，显著提升了系统的开发效率和可扩展性，使其成为满足各类复杂业务需求的理想内容管理平台。

据描述，Craft CMS 在处理generate-transform接口时未对用户输入的JSON数据进行严格校验，攻击者可构造包含恶意类定义的JSON载荷触发PHP反序列化漏洞，最终远程执行任意代码。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	已发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	9.8

---

影响版本

3.0.0-RC1 <= Craft CMS < 3.9.15****

3.0.0-RC1 <= Craft CMS < 4.14.15****

5.0.0-RC1 <= Craft CMS < 5.6.17

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。

【备注】：建议您在升级前做好数据备份工作，避免出现意外。

https://github.com/craftcms/cms/releases

2. 
临时缓解方案：

• 安装临时缓解补丁：

https://github.com/craftcms/security-patches

注意：该补丁只起缓解作用，建议升级到安全版本。

• 利用安全组设置仅对可信地址开放

十

Erlang/OTP SSH

远程代码执行漏洞

漏洞概述

腾讯云安全近期监测到
Erlang
官方发布了关于
Erlang/OTP
的风险公告，漏洞编号为
TVD-2025-12628 (CVE
编号：
CVE-2025-32433
，
CNNVD
编号：
CNNVD-202504-2737)
。成功利用此漏洞的攻击者，最终可远程执行任意代码。

Erlang是一种通用的面向并发的编程语言，它由瑞典电信设备制造商爱立信所辖的CS-Lab 开发，目的是创造一种可以应对大规模并发活动的编程语言和运行环境。OTP（Open Telecom Platform）是其官方提供的标准库、框架和工具集，二者共同构成完整的开发平台。

据描述，该漏洞源于Erlang/OTP SSH的协议消息处理存在逻辑缺陷，攻击者可在未完成身份验证阶段时，通过构造特定格式的SSH协议消息，绕过SSH服务端的安全校验机制，直接触发远程代码执行。

漏洞状态

类别	状态
安全补丁	已公开
漏洞细节	已公开
PoC	已公开
在野利用	未发现

风险等级

评定方式	等级
威胁等级	高危
影响面	高
攻击者价值	高
利用难度	低
漏洞评分	10

影响版本

Erlang/OTP <= 25.3.2.19

Erlang/OTP <= 26.2.5.10

Erlang/OTP <= 27.3.2

修复建议

1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，升级至安全版本

https://github.com/erlang/otp/releases

1. 缓解措施：

2. 禁用 Erlang/OTP 的内置 SSH 服务

3. 通过防火墙规则限制仅允许可信 IP 访问 Erlang/OTP 的内置 SSH 服务

✦

•

✦

*以上漏洞评分为腾讯云安全研究人员根据漏洞情况作出，仅供参考，具体漏洞细节请以原厂商或是相关漏洞平台公示为准。

• END –

构建数字安全免疫力，守护企业生命线

推荐阅读

我的服务器又失陷了 ！｜ 攻防演练真实案例

你的服务器都是怎么被拿下的？｜攻防演练真实案例

重保季 | 从“闪电战”到“持久战”，构建云上安全三道防线