腾讯云安全中心推出2025年4月必修安全漏洞清单
腾讯云安全中心推出2025年4月必修安全漏洞清单
原创 腾讯云安全中心 安全攻防团队 2025-05-15 02:00
所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯云安全中心定期发布安全漏洞必修清单,以此指引政企客户安全运维人员修复漏洞,从而避免重大损失。
以下是2025年4月份必修安全漏洞清单
:
一、Vite 任意文件读取漏洞(CVE-2025-31486)
二、Vite 任意文件读取漏洞
(CVE-2025-32395)
三、Langflow 远程代码执行
漏洞(
CVE-2025-3248)
四、Dify 任意密码重置
漏洞(CVE-2024-12776)
五、Microsoft Telnet Server MS-TNAP 身份认证绕过
漏洞(TVD-2025-14517)
六、Ivanti多款产品 远程代码执行
漏洞(CVE-2025-22457)
七、SAP NetWeaver 任意文件上传漏洞(CVE-2025-31324)
八、BentoML 远程代码执行漏洞(CVE-2025-32375)
九、Craft CMS远程代码执行漏洞(CVE-2025-32432)
十、Erlang/OTP SSH 远程代码执行漏洞(CVE-2025-32433)
漏洞介绍及修复建议详见后文
一、Vite任意文件读取漏洞
概述:
腾讯云安全近期监测到关于
Vite
的风险公告,漏洞编号:
TVD-2025-10018 (CVE
编号:
CVE-2025-31486
,
CNNVD
编号:
CNNVD-202504-684)
。成功利用此漏洞的攻击者,最终可读取服务器上的任意敏感文件。
Vite
是一款面向现代前端开发的高性能构建工具,其创新性地利用浏览器原生
ES
模块(
ESM
)支持,彻底重构了传统前端开发流程。通过独特的按需编译机制,
Vite
在开发模式下摒弃了传统打包方案,转而采用浏览器原生模块加载方式,不仅实现了毫秒级的热更新(
HMR
)响应和极速的服务器启动,还完美支持
Vue
、
React
、
Svelte
等主流框架,并原生集成
TypeScript
、
CSS
预处理器等现代化开发功能。在生产环境构建方面,
Vite
基于
Rollup
进行深度优化,确保最终输出的静态资源具有卓越的性能表现,为开发者提供从开发到部署的全流程高效解决方案。
据描述,该漏洞源于
Vite
开发服务器在处理特定
URL
请求时,未对路径进行严格的校验,攻击者可通过构造包含特殊字符的恶意请求绕过路径访问限制,读取服务器上的任意文件。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Vite <= 4.5.11
5.0.0 <= Vite <= 5.4.16
6.0.0 <= Vite <= 6.0.13
6.1.0 <= Vite <= 6.1.3
6.2.0 <= Vite <= 6.2.4
修复建议:
1
.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/vitejs/vite/releases/
- 临时缓解方案:
–
只有明确将
Vite
开发服务器公开(使用
--host
或
server.host
配置选项)的应用程序才会受到该漏洞影响,启用
vite
服务器时去掉
–host
参数或在
server.host
配置处取消公网开放
–
配置防火墙或网络规则,仅允许特定
IP
地址或
IP
段访问
二、Vite任意文件读取漏洞
概述:
腾讯云安全近期监测到关于
Vite
的风险公告,漏洞编号:
TVD-2025-11706 (CVE
编号:
CVE-2025-32395
,
CNNVD
编号:
CNNVD-202504-1820)
。成功利用此漏洞的攻击者,最终可读取服务器上的任意敏感文件。
当
Vite
开发服务器运行在
Node.js
或
Bun
上时,由于
Node.js/Bun
的
HTTP
实现未严格遵循
RFC 9112
规范,允许包含
的非法请求透传到应用层,而
Vite
开发服务器错误假设
req.url
不会包含
,攻击者可通过构造包含
的请求绕过
server.fs.deny
文件访问限制,从而读取系统任意文件。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Vite <= 4.5.12
5.0.0 <= Vite <= 5.4.17
6.0.0 <= Vite <= 6.0.14
6.1.0 <= Vite <= 6.1.4
6.2.0 <= Vite <= 6.2.5
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/vitejs/vite/releases/
- 临时缓解方案:
–
只有明确将
Vite
开发服务器公开(使用
--host
或
server.host
配置选项)的应用程序才会受到该漏洞影响,启用
vite
服务器时去掉
–host
参数或在
server.host
配置处取消公网开放
–
避免在非
Deno
环境(例如
Node
、
Bun
)上运行
Vite
开发服务器
–
配置防火墙或网络规则,仅允许特定
IP
地址或
IP
段访问
三、Langflow远程代码执行漏洞
概述:
腾讯云安全近期监测到关于
Langflow
的风险公告,漏洞编号为
TVD-2025-11026 (CVE
编号:
CVE-2025-3248
,
CNNVD
编号:
CNNVD-202504-1135)
,成功利用此漏洞的攻击者,最终可远程执行代码。
Langflow
是一款基于
Python
开发的开源低代码可视化
AI
应用构建平台,专为简化复杂
AI
工作流的开发流程而设计。该平台通过直观的拖放式组件界面,使开发者能够快速构建和部署各类
AI
应用,包括智能聊天机器人、文档分析系统和自动化内容生成工具等。其核心架构支持多智能体协同管理、基于向量数据库的
RAG
(检索增强生成)技术实现高效语义检索,并提供灵活的部署选项,既可在主流云平台运行,也可本地部署,同时支持将工作流导出为
API
或
Python
应用程序。
Langflow
特别强调企业级特性,在保持低代码易用性的同时,允许通过
Python
代码深度定制组件,确保满足不同规模企业的安全性要求和扩展性需求,为
AI
应用开发提供了从原型设计到生产部署的完整解决方案。
据描述,该漏洞源于
Langflow
的
/api/v1/validate/code
接口未设置任何身份验证机制,接口直接调用
Python
的
exec()
函数执行用户输入
且未对输入内容进行危险操作过滤,攻击者可构造特殊请求远程执行代码,最终获取服务器权限。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Langflow < 1.3.0
修复建议:
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/langflow-ai/langflow/releases/
- 临时缓解方案:
–
利用安全组设置仅对可信地址开放
–
为该接口设置鉴权
四、Dify任意密码重置漏洞
概述:
腾讯云安全近期监测到关于
Dify
的风险公告,漏洞编号为
TVD-2024-41101 (CVE
编号:
CVE-2024-12776
,
CNNVD
编号:
CNNVD-202503-2296)
,成功利用此漏洞的攻击者,最终可重置任意密码,获取管理员权限。
Dify
是一款
开源的生成式
AI
应用开发平台
,支持通过低代码
/
无代码方式快速构建和部署基于大语言模型的应用程序。其核心功能包括
可视化
AI
工作流编排
、
RAG
管道
、
智能体开发
及
多模态工具集成
,提供从
Prompt
设计到模型管理的全流程支持。平台支持私有化部署,确保数据隐私,并兼容多种模型服务商,适用于构建聊天助手、智能客服、网页分析等场景,尤其适合需要灵活扩展与安全可控的企业级应用。
当用户请求密码重置时,
Dify
会生成令牌并通过邮件发送验证码,当用户被重定向至验证页面调用
/forgot-password/validity
接口完成校验后,
重置端点
/forgot-password/resets
却未验证请求来源
,攻击者可绕过邮箱验证环节直接访问该接口,最终重置任意用户密码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Dify <=1.3.1
修复建议:
1.
官方暂未发布漏洞补丁及修复版本,请持续关注官方公告,待修复版本发布评估业务是否受影响后,酌情升级至安全版本。。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/langgenius/dify/releases
- 临时缓解方案:
–
如无必要,避免暴露至公网
–
利用安全组设置仅对可信地址开放
五、Microsoft Telnet Server MS-TNAP身份认证绕过漏洞
概述:
腾讯云安全近期监测到关于
Microsoft Telnet Server MS-TNAP
的风险公告,漏洞编号为
TVD-2025-14517
。成功利用此漏洞的攻击者,可绕过身份验证,获取管理员权限。
Telnet
协议是
TCP/IP
协议族中的一种,是
Internet
远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。而
MS-TNAP
(
Microsoft Telnet Server Authentication Protocol
)是微软为
Telnet
服务器开发的认证扩展协议,基于
NTLM
增强安全性。
据描述,在
Telnet
服务器的
MS-TNAP
中,由于服务端在
NTLM
认证过程中错误配置了
SECPKG_CRED_BOTH
和
ASC_REQ_MUTUAL_AUTH
标志,导致认证流程出现逻辑缺陷,攻击者可通过构造恶意的
MS-TNAP
协议数据包实现反转认证方向,使服务端错误地验证自身身份而非客户端,最终造成完全的身份验证绕过,使攻击者无需任何凭证即可获得管理员权限的
Telnet
会话访问。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Windows 2000****
Windows XP****
Windows Vista****
Windows 7****
Windows Server 2003****
Windows Server 2008****
Windows Server 2008 R2
修复建议:
1.
官方暂未发布漏洞补丁及修复版本,请持续关注官方公告,待修复版本发布评估业务是否受影响后,酌情升级至安全版本
。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide
- 临时缓解方案:
–
禁用
Telnet
服务器服务
–
限制
Telnet
端口的访问来源,仅允许可信
IP
或内网访问
–
使用应用程序控制来阻止未经授权的
Telnet
客户端连接
六、Ivanti 多款产品远程代码执行漏洞
概述:
腾讯云安全近期监测到
Ivanti
官方发布了关于
Ivanti
多款产品的风险公告,漏洞编号为
TVD-2025-10575 (CVE
编号:
CVE-2025-22457
,
CNNVD
编号:
CNNVD-202504-663)
。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Ivanti Connect Secure
是
Ivanti
公司推出的企业级
SSL VPN
安全解决方案,致力于为现代企业提供全方位的远程安全接入服务。该解决方案集成了多因素认证、端到端流量加密和集中式访问管理等核心安全功能,并通过持续的技术迭代显著增强了零信任安全能力,有效应对日益复杂的网络威胁环境。作为其前身产品,
Pulse Connect Secure
曾为企业提供远程用户安全接入服务,目前该产品线已进入生命周期末期;
Ivanti Policy Secure
策略管理组件,通过与
Connect Secure
深度集成,实现细粒度的访问控制策略分发与执行;
Ivanti ZTA Gateways
基于零信任架构(
Zero Trust Architecture
)设计,专注于强化网络边界防护与动态访问授权能力,并支持自动化安全运维流程,为企业构建起完整的自适应安全防护体系。
据描述,该漏洞源于
Ivanti
上述产品存在代码缺陷,未经身份验证的远程攻击者可发送特制的请求触发堆栈缓冲区溢出,最终远程执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Ivanti Connect Secure <= 22.7R2.5****
Ivanti ZTA Gateways <= 22.8R2****
Ivanti Policy Secure <= 22.7R1.4
Pulse Connect Secure (EoS) <=
9.1R18.9
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US
P.S. 针对 Pulse Connect Secure 9.1 用户,官方已不再提供支持和安全更新,建议用户联系 Ivanti 迁移至安全平台
- 临时缓解方案:
–
如无必要,避免开放至公网
–
利用安全组设置仅对可信地址开放
七、SAP NetWeaver 任意文件上传漏洞
概述:
腾讯云安全近期监测到关于
SAP
NetWeaver
的风险公告,漏洞编号为
TVD-2025-13440 (CVE
编号:
CVE-2025-31324
,
CNNVD
编号:
CNNVD-202504-3657)
。成功利用此漏洞的攻击者,最终可远程执行任意代码。
SAP NetWeaver
是德国
SAP
公司推出的一套企业级技术平台,主要用于构建、集成和运行
SAP
及第三方业务应用程序。它扮演着
SAP
生态系统中的
“
技术底座
”
角色,类似于微软的
.NET
或
Java EE
平台,但专为企业级
ERP
、
CRM
等
SAP
解决方案设计。
据描述,在
SAP NetWeaver
的
Visual Composer
组件的
Metadata Uploader
功能中,由于缺失授权验证,导致未经身份验证的远程攻击者可利用元数据上传接口上传恶意文件,从而造成远程任意代码的执行。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
SAP NetWeaver Visual Composer <= 7.5.0
修复建议:
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://me.sap.com/notes/3594142
2.
临时缓解方案:
–
不影响正常业务的情况下关闭
Visual Composer
组件
–
限制对
/developmentserver/metadatauploader
接口的访问
八、BentoML远程代码执行漏洞
概述:
腾讯云安全近期监测到关于
BentoML
的风险公告,漏洞编号为
TVD-2025-11492 (CVE
编号:
CVE-2025-32375
,
CNNVD
编号:
CNNVD-202504-1577)
。成功利用此漏洞的攻击者,最终可远程执行任意代码。
BentoML
是一个开源的
Python
框架,专注于机器学习模型的工业化部署与管理,通过提供模型打包、版本控制、自动化
API
服务构建及多环境部署能力,帮助开发者将训练好的模型快速转化为可扩展的生产级服务。其核心功能包括支持
TensorFlow
、
PyTorch
、
Scikit-Learn
等主流框架的模型封装,生成
REST/gRPC API
服务,集成模型优化技术(如
ONNX
运行时加速),并通过
Yatai
平台实现
Kubernetes
集群的大规模部署。
据描述,该漏洞源于
runner_app.py
文件中的
_deserialize_single_param
函数存在反序列化漏洞,攻击者可以通过构造恶意请求发送触发反序列化,最终远程执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
1.0.0 <= BentoML < 1.4.8
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/bentoml/BentoML/releases
- 临时缓解方案:
–
如无必要,避免开放至公网
–
利用安全组设置仅对可信地址开放
九、Craft CMS 远程代码执行漏洞
概述:
腾讯云安全近期监测到
Ivanti
官方发布了关于
Craft CMS
的风险公告,漏洞编号为
TVD-2025-13538 (CVE
编号:
CVE-2025-32432
,
CNNVD
编号:
CNNVD-202504-3719)
。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Craft CMS
是一款基于
PHP
和
Yii2
框架开发的企业级开源内容管理系统,专为构建高度定制化的数字体验平台而设计。该系统采用现代化的架构理念,通过无预设内容建模、基于
Twig
的模板引擎以及自动生成的
GraphQL API
等核心功能,为开发者与内容创作者提供了从企业官网、电子商务平台到无头应用的全场景解决方案。在技术实现上,
Craft CMS
采用
Composer
进行高效的依赖管理,支持
MySQL
和
PostgreSQL
等多种数据库引擎,并通过丰富的插件商店提供数百个功能扩展,显著提升了系统的开发效率和可扩展性,使其成为满足各类复杂业务需求的理想内容管理平台。
据描述,
Craft CMS
在处理
generate-transform
接口时未对用户输入的
JSON
数据进行严格校验
,攻击者可构造包含恶意类定义的
JSON
载荷触发
PHP
反序列化漏洞,最终远程执行任意代码。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
3.0.0-RC1 <= Craft CMS < 3.9.15****
3.0.0-RC1 <= Craft CMS < 4.14.15****
5.0.0-RC1 <= Craft CMS < 5.6.17
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/craftcms/cms/releases
- 临时缓解方案:
–
安装临时缓解补丁:
https://github.com/craftcms/security-patches
注意:该补丁只起缓解作用,建议升级到安全版本。
–
利用安全组设置仅对可信地址开放
十、Erlang/OTP SSH 远程代码执行漏洞
概述:
腾讯云安全近期监测到
Erlang
官方发布了关于
Erlang/OTP
的风险公告,漏洞编号为
TVD-2025-12628 (CVE
编号:
CVE-2025-32433
,
CNNVD
编号:
CNNVD-202504-2737)
。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Erlang
是一种通用的面向并发的编程语言,它由瑞典电信设备制造商爱立信所辖的
CS-Lab
开发,目的是创造一种可以应对大规模并发活动的编程语言和运行环境。
OTP
(
Open Telecom Platform
)是其官方提供的标准库、框架和工具集,二者共同构成完整的开发平台。
据描述,
该漏洞源于
Erlang/OTP SSH
的协议消息处理存在逻辑缺陷
,攻击者可在未完成身份验证阶段时,通过构造特定格式的
SSH
协议消息,绕过
SSH
服务端的安全校验机制,直接触发远程代码执行。
漏洞状态:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
风险等级:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
影响版本:
Erlang/OTP <= 25.3.2.19****
Erlang/OTP <= 26.2.5.10****
Erlang/OTP <= 27.3.2
修复建议:
- 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/erlang/otp/releases
- 临时缓解方案:
–
禁用
Erlang/OTP
的内置
SSH
服务
–
通过防火墙规则限制仅允许可信
IP
访问
Erlang/OTP
的内置
SSH
服务
*** 以上漏洞的修复建议,由安全专家审核并融合了AI生成的建议。**
*** 漏洞评分为腾讯云安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。**
通用的漏洞修复、防御方案建议
腾讯云安全专家推荐用户参考相关安全漏洞风险通告提供的建议及时升级修复漏洞,推荐企业安全运维人员通过腾讯云原生安全产品检测漏洞、防御漏洞武器攻击。
具体操作步骤可参考以下文章指引:
https://s.tencent.com/research/report/157
腾讯安全攻防团队 A&D Team
腾讯安全攻防团队 A&D Team专注于安全前沿攻防技术研究。组内有多名深耕安全技术多年的业内专家,研究领域包含但不限于Web安全,主机安全,二进制安全,欢迎关注我们。
往期企业必修漏洞清单
– 2025年03月必修安全漏洞清单
-
2025年02月必修安全漏洞清单
-
2025年01月必修安全漏洞清单
-
2024年12月必修安全漏洞清单
-
2024年11月必修安全漏洞清单
-
2024年10月必修安全漏洞清单
-
2024年09月必修安全漏洞清单
-
2024年05月必修安全漏洞清单
-
2024年04月必修安全漏洞清单
-
2024年03月必修安全漏洞清单
-
2024年02月必修安全漏洞清单
-
2024年01月必修安全漏洞清单
-
2023年12月必修安全漏洞清单
-
2023年11月必修安全漏洞清单
-
2023年10月必修安全漏洞清单
-
2023年09月必修安全漏洞清单
-
2023年08月必修安全漏洞清单
-
2023年07月必修安全漏洞清单
-
2023年06月必修安全漏洞清单
-
2023年05月必修安全漏洞清单
-
2023年04月必修安全漏洞清单
-
2023年03月必修安全漏洞清单
-
2023年02月必修安全漏洞清单
-
2023年01月必修安全漏洞清单
-
2022年12月必修安全漏洞清单
-
2022年11月必修安全漏洞清单
-
2022年10月必修安全漏洞清单
-
2022年09月必修安全漏洞清单
-
2022年08月必修安全漏洞清单
-
2022年07月必修安全漏洞清单
-
2022年06月必修安全漏洞清单
-
2022年05月必修安全漏洞清单
-
2022年04月必修安全漏洞清单
-
2022年03月必修安全漏洞清单
-
2022年02月必修安全漏洞清单
-
2022年01月必修安全漏洞清单
-
2021年12月必修安全漏洞清单
-
2021年11月必修安全漏洞清单