2025年5月企业必修安全漏洞清单
2025年5月企业必修安全漏洞清单
云鼎实验室 2025-06-10 01:34
所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。
以下是2025年5月份必修安全漏洞清单
:
一、
Ivanti Endpoint Manager Mobile
代码执行漏洞
(
CVE-2025-4428)
二、
vLLM PyNcclPipe pickle
反序列化漏洞
(CVE-2025-47277)
三、
Kibana
原型污染远程代码执行漏洞
(
CVE-2025-25014)
四、
Fortinet
多款产品
身份认证绕过漏洞
(CVE-2025-22252)
五、
Apache Commons BeanUtils
远程代码执行漏洞
(CVE-2025-48734)
六、
VMware vCenter Server
远程命令执行漏洞
(CVE-2025-41225)
七、
vBulletin replaceAdTemplate
远程代码执行漏洞
(CVE-2025-48827)
八、kkfileview fileUpload
文件上传漏洞
(CVE-2025-4538)
漏洞介绍及修复建议详见后文
一、 Ivanti Endpoint Manager Mobile代码执行漏洞
漏洞概述
腾讯云安全近期监测到
Ivanti
官方发布了关于
Ivanti Endpoint Manager Mobile
的风险公告,漏洞编号:
TVD-2025-15482 (CVE
编号:
CVE-2025-4428
,
CNNVD
编号:
CNNVD-202505-1802)
。成功利用此漏洞的攻击者,
最终可以远程执行任意代码。
Ivanti Endpoint Manager Mobile(EPMM)
是
Ivanti
公司推出的企业级移动设备管理解决方案,前身为
MobileIron
,专为现代混合办公环境设计。该平台提供全面的移动设备生命周期管理功能,包括设备注册、配置管理、应用分发、安全策略实施、远程擦除及合规监控等,支持
iOS
、
Android
等多种主流操作系统。
EPMM
通过集中化管理控制台,帮助企业高效管控员工移动设备,确保企业数据安全与合规性,同时优化移动办公体验。作为
Ivanti
端点管理战略的核心组件,
EPMM
可与其他
Ivanti
解决方案无缝集成,为企业提供端到端的混合设备管理能力。
Ivanti Endpoint Manager Mobile
中的
/api/v2/featureusage
接口在处理用户提交的
format
参数时未对输入内容进行过滤或转义
,
且
Ivanti Endpoint Manager Mobile
使用的
Hibernate Validator
框架
在构建错误消息模板时直接拼接了用户输入,攻击者可通过该参数注入恶意表达式,最终远程执行任意代码。
P.S. 该漏洞可结合 Ivanti Endpoint Manager Mobile 身份认证绕过漏洞(CVE-2025-4427)实现未经身份验证的远程代码执行。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
中 |
|
漏洞评分 |
8.8 |
影响版本
Ivanti Endpoint Manager Mobile < = 11.12.0.4
Ivanti Endpoint Manager Mobile <= 12.3.0.1
Ivanti Endpoint Manager Mobile <= 12.4.0.1
Ivanti Endpoint Manager Mobile <= 12.5.0.0
修复建议
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本
。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://forums.ivanti.com/s/product-downloads
2.
临时缓解方案:
–
使用内置的
ACL
过滤对
API
的访问,具体可参考官方文档:
https://help.ivanti.com/mi/help/en_us/core/12.x/sys/CoreSystemManager/Access_Control_Lists__Po.htm
二、 vLLM PyNcclPipe pickle反序列化漏洞
漏洞概述
腾讯云安全近期监测到关于
vLLM
的风险公告,
漏洞编号为
TVD-2025-16486 (CVE
编号:
CVE-2025-47277
,
CNNVD
编号:
CNNVD-202505-3087)
。成功利用此漏洞的攻击者,最终可
远程执行任意代码
。
vLLM
是一个开源的高性能推理和服务库,旨在优化大型语言模型(
LLM
)的推理过程,提升推理速度、内存效率和吞吐量,适用于生产环境中的高并发和长序列任务。它采用动态张量并行技术,将计算分散到多个
GPU
或机器上,实现负载均衡;通过优化内存管理,减少内存开销,支持在内存有限的系统上运行更大模型;具备异步推理机制,可同时处理多个输入请求,提高推理速度和吞吐量;还支持多种解码算法、张量并行和流水线并行,能实现分布式推理和流式输出。
据描述,该漏洞源
于
vLLM
框架的
PyNcclPipe
组件在分布式推理场景下处理
KV
缓存数据时,直接使用不安全的
Python pickle
模块对网络传入的序列化数据进行反序列化
,且未实施任何输入验证或沙箱隔离机制,攻击者可借此构造包含恶意代码的
pickle
数据包发送至暴露的通信端口触发该漏洞,最终远程执行任意代码。
P.S. 该漏洞仅影响使用PyNcclPipe KV缓存传输与V0引擎集成的环境,其他配置不受影响。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
影响版本
0.6.5 <= vLLM < 0.8.5
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/vllm-project/vllm/releases
2.
临时缓解方案:
–
在专用隔离网络上部署
vLLM
节点
–
利用安全组设置仅对可信地址开放
三、 Kibana 原型污染远程代码执行漏洞
漏洞概述
腾讯云安全近期监测到关于
Kibana
的风险公告,
漏洞编号为
TVD-2025-14480 (CVE
编号:
CVE-2025-25014
,
CNNVD
编号:
CNNVD-202505-892)
。成功利用此漏洞的攻击者,最终可以远程执行任意代码。
Kibana
是
Elastic
公司开发的一款开源数据可视化和分析平台,专为
Elasticsearch
数据库设计,提供直观的仪表盘、图表和报表功能,帮助用户轻松探索、分析和可视化海量数据。它支持实时数据监控、日志分析、业务指标追踪等多种应用场景,通过丰富的可视化组件(如柱状图、折线图、地图等)和交互式仪表盘,使复杂数据变得易于理解。
Kibana
还具备强大的搜索和过滤能力,支持自定义报表和告警功能,并可集成机器学习模块进行异常检测,广泛应用于运维监控、安全分析、业务智能等领域,是企业数据分析和可视化的重要工具。
据描述,在
Kibana
中,当同时启用机器学习
(Machine Learning)
和报告
(Reporting)
功能时,存在原型污染漏洞,经过身份验证的攻击者通过发送
精心构造的
HTTP
请求
,污染
JavaScript
对象原型链,最终远程执行任意代码。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
未公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
中 |
|
漏洞评分 |
9.1 |
影响版本
8.3.0 <= Kibana <= 8.17.5
Kibana 8.18.0
Kibana 9.0.0
修复建议
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.elastic.co/downloads/past-releases#kibana
2.
临时缓解方案:
–
自托管部署的用户:建议禁用
“
机器学习
“
或
“
报表生成
“
功能之一。
禁用机器学习功能:在
elasticsearch.yml
配置文件中添加
xpack.ml.enabled: false
来完全禁用机器学习功能。或者在
kibana.yml
文件中添加
xpack.ml.ad.enabled: false
来禁用异常检测功能。
禁用报表生成功能:在
kibana.yml
配置文件中添加
xpack.reporting.enabled: false
来禁用该功能。
–
Elastic Cloud
部署的用户:
在
Elastic CLoud
服务环境中,代码执行被严格限制在
Kibana Docker
容器内部。通过
seccomp-bpf
和
AppArmor
安全模块的防护,有效阻断了容器逃逸等进一步攻击行为,显著降低了安全风险。
若暂时无法升级版本,云服务用户可采取额外防护措施
——
通过修改
Kibana
用户设置,添加以下配置来禁用
“
报表生成
“
功能:
xpack.reporting.enabled: false
在
Elastic Cloud
上编辑
Kibana
用户设置的详细指南,请参阅官方文档:
https://www.elastic.co/docs/deploy-manage/deploy/elastic-cloud/edit-stack-settings#kibana-settings
四、 Fortinet多款产品 身份认证绕过漏洞
漏洞概述
腾讯云安全近期监测到
Fortinet
官方发布了关于
FortiOS
、
FortiProxy
和
FortiSwitchManager
的风险公告,
漏洞编号为
TVD-2025-15734 (CVE
编号:
CVE-2025-22252
,
CNNVD
编号:
CNNVD-202505-3816)
,成功利用此漏洞的攻击者,可以绕过身份验证,获得管理员权限。
Fortinet FortiOS
是
Fortinet
公司开发的网络安全操作系统,专为
FortiGate
系列防火墙及其他安全设备设计,提供全面的威胁防护、网络访问控制、应用层过滤和高级安全功能。
FortiProxy
是高性能安全
Web
网关产品,结合
Web
过滤、
DNS
过滤、数据泄露防护、反病毒、入侵防御和高级威胁保护等检测技术,可有效保护用户免受网络攻击,还能减少带宽需求、优化网络。
FortiSwitchManager
是用于管理
FortiSwitch
设备的软件,能助力企业对网络交换机进行高效配置、管理和监控,保障网络稳定运行。
据描述,在
FortiOS、
FortiProxy
和
FortiSwitchManager
中,当配置了
ASCII
认证模式的远程
TACACS+
服务器时,未经身份验证的远程攻击者可利用有效管理员账号名(无需密码)来绕过认证流程,从而直接获取设备管理员权限等。
PS:此漏洞仅限于使用 ASCII 身份验证的配置(非默认配置)。PAP、MSCHAP 和 CHAP 配置不受影响。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
未公开 |
|
PoC |
未公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
影响版本
FortiSwitchManager 7.2.5****
7.6.0 <= FortiProxy <= 7.6.1****
7.4.4 <= FortiOS <= 7.4.6****
FortiOS 7.6.0****
修复建议
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://docs.fortinet.com/upgrade-tool
2.
临时缓解方案:
–
修改
TACACS+
的认证模式,或禁用
ASCII
认证模式,恢复系统默认模式:
config user tacacs+
edit "TACACS-SERVER"
set server <IP address>
set key <string>
set authen-type [pap, mschap, chap]
set source-ip <IP address>
next
end
或者
config user tacacs+
edit "TACACS-SERVER"
set server <IP address>
set key <string>
unset authen-type
set source-ip <IP address>
next
end
五、 Apache Commons BeanUtils 远程代码执行漏洞
漏洞概述
腾讯云安全近期监测到
Apache
官方发布了关于
Commons BeanUtils
的风险公告,
漏洞编号为
TVD-2025-17316 (CVE
编号:
CVE-2025-48734
,
CNNVD
编号:
CNNVD-202505-3838)
,成功利用此漏洞的攻击者,最终可远程执行任意代码。
Apache Commons BeanUtils
是一个用于简化
Java Bean
操作的开源
Java
库
,
它为
JavaBeans
提供了简洁且灵活的访问和转换机制,通过一系列实用工具方法,极大地简化了对
Java
对象属性的读取、设置、类型转换、深克隆及描述器处理等常见操作,让开发人员能更专注于业务逻辑。其核心是利用
Java
的反射机制和内省特性,提供高效易用的
API
,能自动映射请求参数到
Java
对象属性上并执行类型转换,如将字符串转换成日期或数字类型等。该库的主要功能包括属性的读取、写入、复制、比较,支持基本类型、枚举类型以及其他一些常用类型的转换,还支持自定义类型转换器以适应特定场景。
据描述,在
Apache Commons BeanUtils
库中,由于
PropertyUtilsBean
(以及相关的
BeanUtilsBean
)默认未限制枚举类型
declaredClass
属性的访问,因此当应用程序直接使用外部输入的属性路径调用
getProperty()
或
getNestedProperty()
方法时,攻击者可利用
“declaredClass”
属性获取底层类加载器,进而可能实现远程任意代码的执行。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
未公开 |
|
PoC |
未公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
中 |
|
漏洞评分 |
8.8 |
影响版本
1.0 <= Apache Commons BeanUtils < 1.11.0****
2.0.0-M1 <= Apache Commons BeanUtils < 2.0.0-M2
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/commons-beanutils/tags
六、 VMware vCenter Server 远程命令执行漏洞
漏洞概述
腾讯云安全近期监测到关于
VMware
vCenter Server
的风险公告,
漏洞编号为
TVD-2025-16377 (CVE
编号:
CVE-2025-41225
,
CNNVD
编号:
CNNVD-202505-2983)
。成功利用此漏洞的攻击者,最终可远程执行代码。
VMware vCenter Server
是
VMware
公司开发的一款数据中心虚拟化管理平台的核心组件,也是整个虚拟化解决方案的管理核心,它提供了一个集中式平台来控制
vSphere
环境,以实现跨混合云的可见性,为虚拟化管理奠定了基础。它可以集中管理
VMware vSphere
环境,让管理员从一个中心位置控制、监视和配置整个虚拟环境,包括多个
VMware ESXi
主机和在其上运行的虚拟机,极大地提高了
IT
管理员对虚拟环境的控制能力。
据描述,该漏洞源于
VMware vCenter Server
的告警(
Alarms
)与脚本(
Scripts
)管理模块存在权限校验缺陷
,已获得基础认证权限的用户通过构造恶意请求可直接向服务器注入操作系统命令,最终远程执行任意代码。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
未公开 |
|
PoC |
未公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
中 |
|
漏洞评分 |
8.8 |
影响版本
7.0 <= vCenter Server <
7.0 U3v****
8.0 <= vCenter Server <
8.0 U3e****
VMware Cloud Foundation (vCenter) 4.5.x <
7.0 U3v****
VMware Cloud Foundation (vCenter) 5.x < 8.0 U3e****
VMware Telco Cloud Platform (vCenter) 2.x,3.x,4.x,5.x < 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x < 7.0 U3v
VMware Telco Cloud Infrastructure (vCenter) 3.x < 8.0 U3e
修复建议
1.
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25717
2.
临时缓解方案:
–
如无必要,避免开放至公网
–
利用安全组设置仅对可信地址开放
七、 vBulletin replaceAdTemplate 远程代码执行漏洞
漏洞概述
腾讯云安全近期监测到关于
vBulletin
的风险公告,
漏洞编号为
TVD-2025-17050 (CVE
编号:
CVE-2025-48827
,
CNNVD
编号:
CNNVD-202505-3723)
。成功利用此漏洞的攻击者,最终可远程执行任意代码。
vBulletin
是一款
基于
PHP
和
MySQL/MariaDB
开发的商业论坛软件
,专为构建高性能、可定制化的在线社区而设计,是一款强大、灵活且能按需定制的论坛程序套件,在国内外中大型网站和社区中广泛应用。它具有诸多显著特点,如采用灵活的解决方案,数据库和
Web
服务器可分别存在于不同机器中,能运行于支持
PHP
和相应数据库的任意操作系统下;具备高效稳定的性能,拥有管理控制面板、版主控制面板和用户控制面板,方便不同角色进行操作管理。
据描述,该漏洞源于
vBulletin
存在代码缺陷,攻击者可通过构造特定
API
请求利用
PHP
反射机制绕过权限控制
,未授权调用受保护的控制器方法
replaceAdTemplate
并向其参数注入含恶意
PHP
代码的
条件标签,借助模板引擎的解析机制远程执行任意代码。
P.S. 该漏洞只影响PHP >= 8.1环境下的vBulletin组件。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
10 |
影响版本
5.0.0 <=
vBulletin <=
5.7.5
6.0.0 <=
vBulletin <= 6.0.3
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4491049-security-patch-released-for-vbulletin-6-x-and-5-7-5
八、 kkfileview fileUpload 文件上传漏洞
漏洞概述
腾讯云安全近期监测到关于
kkfileview
的风险公告,
漏洞编号为
TVD-2025-15174 (CVE
编号:
CVE-2025-4538
,
CNNVD
编号:
CNNVD-202505-1546)
。成功利用此漏洞的攻击者,最终可上传任意文件,最终远程执行任意代码。
kkFileView
是一款基于
Spring Boot
的开源文件在线预览解决方案,可直接在浏览器中预览多种格式文件而无需下载或安装本地软件。该工具支持主流办公文档、纯文本、图片、多媒体、压缩包以及
CAD
和
3D
模型等专业文件格式的在线浏览,具有部署简便、扩展性强等特点:采用
Spring Boot
框架实现快速搭建,提供
RESTful
接口支持多语言调用;内置
zip/tar.gz
发行包和
Docker
镜像,支持一键启动和容器化部署;通过抽象预览服务接口,开发者可轻松扩展新的文件类型支持,同时丰富的配置选项能满足各类定制化需求。
该漏洞源于
kkFileView
组件中
CompressFileReader
类的
unRar
方法存在缺陷,该方法在处理压缩文件时,
未能对解压出的文件内容进行安全校验
。结合预览功能
自动触发解压
的特性,攻击者可构造
包含恶意脚本的压缩文件
并上传,最终远程执行任意代码。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
8.5 |
影响版本
kkFileView<= 4.4.0
修复建议
1.
官方暂未发布漏洞补丁及修复版本,请持续关注官方公告,待修复版本发布评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://kkview.cn/zh-cn/index.html
2.
临时缓解方案:
–
如无必要,避免开放至公网
–
利用安全组设置仅对可信地址开放
- 以上
漏洞评分为腾讯云安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
END
更多精彩内容点击下方扫码关注哦~
关注云鼎实验室,获取更多安全情报
