2026-01-01 05:11:18 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文梳理2025年利用最广的Top20高危漏洞，平均CVSS达8.5。重点分析了React2Shell、ErlangSSH及各类反序列化、提权漏洞，指出反序列化、内核提权和网络设备攻击是主要趋势。建议企业优先修补满分漏洞，实施网络分段，并加强监控以应对快速变化的威胁态势。 综合评分： 95 文章分类： 漏洞分析,漏洞预警,威胁情报,安全大事件

cover_image

梳理2025年被利用最广泛和风险最高Top20漏洞

二进制空间安全

2025年12月31日 11:52 北京

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

概述

#

2025年即将结束, 随着AI的迅速普及, 网络安全形势出现了前所未有的漏洞利用激增, 威胁行为者广泛利用企业软件、云基础设施以及工业系统中的关键缺陷。

本篇文章梳理了这一年被利用程度最高、风险最严重的20个漏洞, 这些漏洞的 CVSS 综合严重性评分平均达到 8.5，其中有两个漏洞获得了满分 10.0，凸显了这些安全缺陷的极端危险性。

CVE-2025-55182：React2Shell

作为 2025 年最严重的漏洞，CVE-2025-55182（被称为“React2Shell”）成为 Web 应用安全领域的一个分水岭。该漏洞由 Meta 于 2025 年 12 月 3 日披露，是 React Server Components 中一个无需认证即可触发的远程代码执行漏洞，CVSS 评分达到最高的 10.0。漏洞根源在于 React Server Components（RSC）Flight 协议中的不安全反序列化问题，服务器在处理 RSC 负载时缺乏充分的校验。

根据 Wiz Research 的数据，约39%的云环境中存在易受攻击的实例，使其成为近年来影响范围最广的关键漏洞之一。

该漏洞影响 React 的 19.0、19.1.0、19.1.1 和 19.2.0 版本，以及 Next.js 等下游框架。安全研究人员确认，在默认配置下即存在漏洞，这意味着通过 create-next-app 创建的标准 Next.js 应用，在开发者未做任何代码修改的情况下就可能被利用。

Rapid7 在漏洞披露后48小时内验证了可用的概念验证（PoC）利用代码；到 2025 年 12 月 8 日，全球各地的蜜罐系统已经监测到针对该漏洞的利用尝试。

其利用方式是构造恶意的 RSC 负载，触发服务器端执行逻辑，使攻击者能够以 SYSTEM 级权限执行特权 JavaScript 代码。多家组织观察到，攻击者通过该漏洞执行 PowerShell 命令，部署 Mesh Agent 恶意软件以及加密货币挖矿程序。

#

CVE-2025-32433：Erlang/OTP SSH 零日危机

CVE-2025-32433 是另一个达到最高严重级别（CVSS 10.0）的漏洞，影响 Erlang/OTP 的 SSH 守护进程，于 2025 年 4 月 16 日披露。该漏洞属于认证前远程代码执行漏洞，攻击者无需完成 SSH 认证流程即可执行任意代码，根源在于 SSH 协议在认证前阶段对协议消息处理不当。

该漏洞影响 Erlang/OTP 27.3.2 及更早版本、26.2.5.10 及更早版本、25.3.2.19 及更早版本，以及 OTP 17.0 及更老的所有版本。Erlang/OTP 是包括 Ericsson、Cisco 和 WhatsApp 在内的众多组织所依赖的基础技术，因此该漏洞对电信行业、即时通讯平台、IoT 基础设施以及金融服务领域尤为危险。

Palo Alto Networks 报告称，在 2025 年 5 月 1 日至 5 月 9 日期间，针对该漏洞的利用尝试急剧增加，其中 70% 的检测来自于保护工业/运营技术环境的防火墙。攻击方法是：在认证之前发送 SSH_MSG_CHANNEL_OPEN 消息以初始化会话通道，随后发送包含恶意 “exec” 负载的 SSH_MSG_CHANNEL_REQUEST 消息。如果 SSH 守护进程以 root 等高权限运行，成功利用即可获得对系统的完全控制。

#

CVE-2025-59287：Microsoft WSUS 反序列化漏洞

2025 年，Microsoft Windows Server Update Services（WSUS）成为重点攻击目标，CVE-2025-59287 是一个严重的远程代码执行漏洞，CVSS 评分为 9.8。该漏洞于 2025 年 10 月 23 日通过一次带外紧急补丁披露，源于 WSUS 服务中对不可信数据的不安全反序列化。

该漏洞允许未认证的攻击者向 8530 和 8531 端口上的 WSUS 端点发送精心构造的请求，以 SYSTEM 权限实现代码执行。根据 Huntress 和 Unit 42 的分析，攻击者通过针对 GetCookie() 端点和 ReportingWebService，利用不安全的 BinaryFormatter 和 SoapFormatter 对 AuthorizationCookie 对象进行错误反序列化，从而实现攻击。

最初在真实环境中观察到的利用行为显示，进程链中 wsusservice.exe 和 w3wp.exe 会生成 cmd.exe 和 powershell.exe，以执行 Base64 编码的侦察命令。攻击者使用 whoami、net user /domain 和 ipconfig /all 等命令收集信息，并将数据外传到远程 webhook 端点。

该漏洞在披露后立即被加入 CISA 的“已知被利用漏洞（KEV）”目录，公开的 PoC 进一步加速了大规模攻击。

CVE-2025-62221：Windows 云文件驱动零日漏洞

Microsoft 2025 年 12 月的 Patch Tuesday 修复了 CVE-2025-62221，这是一个 Windows Cloud Files Mini Filter Driver 中的 use-after-free 权限提升漏洞，且在披露前已被作为零日漏洞积极利用。该漏洞 CVSS 评分为 7.8，允许已认证的本地攻击者在无需用户交互的情况下将权限提升至 SYSTEM 级别。

漏洞源于 use-after-free 条件，即程序尝试使用已经被系统回收的内存块。CISA 于 2025 年 12 月 9 日将其加入 KEV 目录，确认存在在野利用，并要求美国联邦民用行政部门在 2025 年 12 月 30 日前完成修复。

安全研究人员指出，该漏洞尤为危险，因为它影响的是 Cloud Files Mini Filter Driver —— 一个用于管理云存储集成的 Windows 核心组件，即便系统未安装 OneDrive、Google Drive 或 iCloud 等应用，该组件也依然存在。

较低的攻击复杂度和较少的权限要求，使得该漏洞易于被多种攻击者利用，从而禁用安全工具、访问敏感信息、进行横向移动，并建立持久的高权限访问。

#

CVE-2025-62215：Windows 内核竞争条件零日漏洞

2025 年11月的 Patch Tuesday 修复了 CVE-2025-62215，这是一个 Windows 内核中的竞争条件漏洞，CVSS 评分为 7.0，且已在真实环境中被利用。该漏洞由 Microsoft Threat Intelligence Center（MSTIC）和 Microsoft Security Response Center（MSRC）发现，允许拥有低权限的已认证攻击者将权限提升至 SYSTEM 级别。

该漏洞属于并发执行中共享资源同步不当的问题（CWE-362）。攻击者通过运行特制程序反复触发时序错误，迫使多个线程在缺乏适当同步的情况下访问同一内核资源，从而导致内核内存处理混乱，触发同一内存块被释放两次的“双重释放”问题，破坏内核堆，并为攻击者提供覆盖内存、劫持执行流的途径。

安全专家评估认为，CVE-2025-62215 通常在攻击者通过钓鱼、远程代码执行或沙箱逃逸完成初始入侵后使用，用于提权、窃取凭据和横向移动。该漏洞影响所有当前受支持的 Windows 操作系统版本，包括 Windows 10、Windows 11、Windows Server 2019 至 Windows Server 2025，以及 Windows 10 扩展安全更新（ESU）。CISA 为联邦机构设定的修复期限为 2025 年 12 月 3 日。

#

CVE-2025-48572 与 CVE-2025-48633:Android Framework 零日漏洞

Google 于 2025 年 12 月发布的 Android 安全公告修复了 100 多个漏洞，其中包括两个高危的 Android Framework 零日漏洞，并于 2025 年 12 月 2 日被 CISA 加入 KEV 目录。CVE-2025-48572 是一个权限提升漏洞，允许恶意应用在无需用户交互的情况下从后台启动未授权的活动；CVE-2025-48633 是一个信息泄露漏洞，使应用能够访问敏感的系统内存，可能绕过 Android 的沙箱保护。

这两个漏洞影响 Android 13 至 16 版本，并已被确认存在“有限、定向的在野利用”，很可能被国家级攻击者或商业监控工具用于针对高价值目标。CVE-2025-48633 位于 DevicePolicyManagerService.java 的 hasAccountsOnAnyUser 方法中，由于逻辑错误，攻击者可在设备初始化后添加 Device Owner，从而实现本地权限提升。CVE-2025-48572 则源于 Android Frameworks Base 包中的权限绕过问题，允许未授权的后台活动启动。

安全研究人员指出，当这两个漏洞被链式利用时尤为危险：CVE-2025-48633 用于窃取敏感数据或逃逸应用沙箱，而 CVE-2025-48572 则用于获取系统级权限。联邦机构被要求在 2025 年 12 月 23 日前完成修补。

CVE-2025-5777：CitrixBleed 2

CVE-2025-5777 因与 2023 年的 CitrixBleed 漏洞（CVE-2023-4966）相似而被称为“CitrixBleed 2”，是 Citrix NetScaler ADC 和 Gateway 中一个关键的越界读取漏洞，CVSS 评分为 9.3。该漏洞于 2025 年 6 月 17 日披露，并于7 月11日被加入 CISA 的 KEV 目录，同时给出了前所未有的 24 小时修补期限。该漏洞允许攻击者泄露敏感内存数据，包括认证令牌和会话 Cookie。

该漏洞影响被配置为 Gateway（VPN 虚拟服务器、ICA Proxy、CVPN、RDP Proxy）或 AAA 虚拟服务器的 NetScaler 设备。安全研究员 Kevin Beaumont 指出，利用活动最早可追溯至 2025 年 6 月中旬，其中一个 IP 地址与 RansomHub 勒索软件活动有关。GreyNoise 数据显示，在 30 天内共有来自保加利亚、美国、中国、埃及和芬兰的 10 个恶意 IP 发起利用，主要目标国家包括美国、法国、德国、印度和意大利。

攻击者向存在漏洞的 Citrix 设备发送特制的 HTTP 请求，设备会返回包含会话数据的内存片段。利用泄露的会话令牌，攻击者可以劫持活动中的 VPN 会话，绕过多因素认证，在无需凭据的情况下访问内部系统。Horizon3.ai 的研究人员发现 nsppe（二进制 NetScaler 数据包解析引擎）中存在可疑修改，并指出管理员用于管理 NetScaler Gateway 端点的配置工具同样使用了存在漏洞的内存空间，使 “nsroot” 用户的会话令牌面临被窃取的风险。

CVE-2025-20333 与漏洞9:CVE-2025-20362：Cisco 防火墙漏洞利用链

Cisco Adaptive Security Appliance（ASA）和 Firepower Threat Defense（FTD）遭遇了两个在补丁发布前即被作为零日漏洞利用的严重漏洞。CVE-2025-20333 的 CVSS 评分为 9.9，是 VPN Web 服务器组件中的缓冲区溢出漏洞，允许已认证攻击者以 root 权限执行任意代码；CVE-2025-20362 的 CVSS 评分为 6.5，是一个缺失授权漏洞，允许未认证攻击者访问受限的 URL 端点。

CISA 于 2025 年 9 月 25 日发布了紧急指令 25-03，确认存在在野利用和大规模扫描，并将攻击归因于与 ArcaneDoor（UAT4356）相关的同一威胁行为者，该组织是一个最早在 2024 年被发现的国家级间谍活动团体。英国国家网络安全中心（NCSC）报告称，攻击中投递了 RayInitiator 和 LINE VIPER 等恶意软件。

攻击链的方式是：攻击者首先利用 CVE-2025-20362 通过特制的 HTTP(S) 请求绕过认证，然后再结合 CVE-2025-20333 实现 root 级远程代码执行。2025 年 11 月 5 日，Cisco 警告称出现了一种新的攻击变种，会导致未修补的设备异常重启，从而引发拒绝服务。该漏洞影响 Cisco ASA 9.16–9.23 版本以及 Cisco FTD 7.0–7.7 版本。

CVE-2025-9242：WatchGuard Firebox 越界写灾难

WatchGuard Firebox 防火墙遭遇了 CVE-2025-9242 的严重利用，这是 WatchGuard Fireware OS 中 iked 进程的一个越界写漏洞，CVSS 评分为 9.3。该漏洞于 2025 年 9 月 17 日披露，并于 11 月 12 日被加入 CISA 的 KEV 目录，允许远程未认证攻击者执行任意代码。

该漏洞影响配置为使用 IKEv2 的移动用户 VPN 以及使用动态网关对等体的分支机构 VPN。WatchTowr Labs 的研究人员在 2025 年发现该漏洞属于基于栈的缓冲区溢出，并指出该企业级设备缺乏现代漏洞利用缓解机制。受影响的 Fireware OS 版本包括 11.10.2 至 11.12.4_Update1、12.0 至 12.11.3，以及 2025.1。

安全分析发现 /usr/bin/iked 中存在可疑修改，尤其是在 ike2_ProcessPayload_CERT 函数中，缺失长度校验使攻击者可以通过构造 IKEv2 数据包溢出缓冲区。IKE 协议的未认证阶段仅包含两个初始数据包交换，而易受攻击的代码路径在 IKE_SA_AUTH 阶段处理，这意味着攻击者只需发送两个数据包即可触达漏洞代码。

鉴于该漏洞可被用于禁用安全工具、访问敏感信息、横向移动以及建立持久的高权限访问，组织被敦促在正常补丁周期之外优先修复。

CVE-2025-6218：WinRAR 路径遍历漏洞利用

全球最流行的压缩工具之一 WinRAR 在 2025 年遭遇了 CVE-2025-6218，这是一个严重的路径遍历漏洞，CVSS 评分为 7.8，影响 7.11 及更早版本。该漏洞于 2025 年 3 月披露，并在 2025 年 6 月的 WinRAR 7.12 Beta 1 中修复。在确认被多个威胁组织积极利用后，CISA 于 2025 年 12 月 10 日将其加入 KEV 目录。

该漏洞源于 WinRAR 在 RARReadHeader 和 RARProcessFile 例程中对路径校验不当，未能规范化或验证诸如 “../” 和 “..” 等相对路径组件。包含恶意构造路径的压缩包可以将文件解压到目标目录之外，例如将可执行文件放入 Windows 启动目录，以在用户登录时自动执行。无论归档条目的路径是绝对路径还是相对路径，该漏洞都可被利用。

已观察到多个威胁行为者利用该漏洞，包括 GOFFEE（Paper Werewolf）、Bitter（APT-C-08 / Manlinghua）和 Gamaredon。SecPod 的研究人员记录了一起针对南亚政府机构的定向网络间谍活动，并将其归因于 APT-C-08。攻击通过携带恶意 RAR 压缩包的钓鱼邮件实施，载荷为一个 C# 木马，用于与外部 C2 服务器通信，实现键盘记录、屏幕截图、RDP 凭据窃取以及文件外传。

CVE-2025-48384：Git 任意文件写漏洞

广泛使用的 Git 版本控制系统在 2025 年遭到 CVE-2025-48384 的利用，这是一个高危漏洞（CVSS 8.0–8.1），影响 macOS 和 Linux 安装环境，于 2025 年 7 月 8 日披露。CISA 在确认存在在野利用后，于 2025 年 8 月 26 日将其加入 KEV 目录，并设定 2025 年 9 月 15 日为修复期限。

该漏洞源于 Git 在解析配置文件和子模块路径时对回车符（CR）的处理不一致。在读取配置值时，Git 会剥离尾部的 CRLF 字符；但在写入配置项时，如果值以 CR 结尾则不会被正确引用，导致后续读取时 CR 被丢弃。攻击者可构造恶意的 .gitmodules 文件，使子模块路径以回车符结尾；当使用 git clone –recursive 递归克隆仓库时，这种解析不一致会导致向攻击者指定的路径写入任意文件。

CrowdStrike 发现了结合复杂社会工程手段的在野利用，攻击者诱导受害者克隆恶意 Git 仓库。攻击通过精心放置符号链接并利用回车符混淆，将恶意内容直接写入 Git 子模块的 hooks 目录，而 Git 会在子模块检出过程中自动执行该目录中的脚本。DataDog 的研究人员指出，该漏洞还可被用于覆盖受害者的 Git 配置文件，从而在不引起注意的情况下，将专有源代码等知识产权外传至攻击者服务器。

#

CVE-2025-12480：Gladinet Triofox 访问控制不当漏洞

Gladinet Triofox 是一种被托管服务提供商和企业广泛使用的本地及混合文件共享平台，其在 2025 年遭遇了 CVE-2025-12480，这是一个访问控制不当漏洞，CVSS 评分为 9.1。尽管 Gladinet 已于 2025 年 7 月 26 日在 16.7.10368.56560 版本中修复该漏洞，但直到 2025 年 11 月 12 日、在确认存在在野利用并被加入 CISA KEV 目录后，该漏洞才被公开披露。

Mandiant Threat Defense 发现，威胁集群 UNC6485 早在 2025 年 8 月 24 日就开始利用该漏洞，几乎是在补丁发布一个月后、但尚未公开披露 CVE 的情况下。该漏洞允许攻击者通过滥用 HTTP Host 头校验，访问管理流程 AdminDatabase.aspx，创建无凭据的本地管理员账户，并配置产品的防病毒可执行路径以运行恶意脚本。

攻击链包括修改 Host 头字段以绕过访问控制，成功访问 AdminAccount.aspx，并跳转至 InitAccount.aspx 创建新的管理员账户。随后，攻击者使用新创建的管理员账户登录，上传并执行恶意文件。由于配置的防病毒路径继承 Triofox 父进程权限，并在 SYSTEM 账户上下文中运行，攻击者得以获得完全控制。观察到的攻击活动包括部署 PLINK 用于 RDP 隧道，以及将文件下载至如 C:\WINDOWS\Temp 等暂存目录。

CVE-2025-32463：Sudo 通过 Chroot 的权限提升漏洞

2025 年 6 月，Stratascale Cyber Research Unit 的 Rich Mirch 报告了一个影响 Sudo 1.9.14 至 1.9.17 版本的严重漏洞（CVSS 9.3）。CVE-2025-32463 允许本地用户通过滥用 –chroot 选项获得 root 权限，其关键在于使用了用户可控目录中的 /etc/nsswitch.conf。

该漏洞源于 sudo 1.9.14 中引入的一项变更：在 sudoers 文件仍在被评估时，就允许通过 chroot() 使用用户指定的根目录进行路径解析。攻击者可准备一个可写目录（例如 /tmp），在其中放置伪造的 /etc/nsswitch.conf 以及恶意的 libnss_*.so 库，然后使用 –chroot 选项调用 sudo，导致 sudo 以 root 权限加载攻击者的代码。

包括 Ubuntu、Red Hat、SUSE 和 Debian 在内的主流 Linux 发行版均发布了安全公告和补丁。该漏洞在 sudo 1.9.17p1 中得到修复，通过回滚 sudo 1.9.14 的变更并将 chroot 功能标记为弃用。CISA 于 2025 年 10 月将其加入 KEV 目录，强调其对企业 Linux 环境的严重性。

CVE-2025-4664：Chrome 跨域数据泄露漏洞

Google Chrome 在 2025 年通过 CVE-2025-4664 被利用，这是一个高危漏洞（CVSS 8.8），影响 136.0.7103.113 之前的版本，于 2025 年 5 月 14 日披露并修复。CISA 于 5 月 15 日将其加入 KEV 目录，并要求在 2025 年 6 月 5 日前完成修复，确认该漏洞已被积极利用。

该漏洞源于 Chrome Loader 组件中策略执行不足，允许远程攻击者通过精心构造的 HTML 页面泄露跨域数据。问题出在 Chrome 对子资源（如图片、脚本）请求中的 Link HTTP 头处理方式：即便是子资源，Chrome 仍会遵循 referrer-policy 指令，而这一行为并非其他主流浏览器所共有。攻击者可以将策略设置为 unsafe-url，从而导致 Chrome 向第三方域泄露完整的 referrer URL，其中可能包含敏感令牌或凭据。

安全研究员 Vsevolod Kokorin（“slonser_”）指出，Link 头可以通过 unsafe-url 设置 referrer-policy，从而捕获可能包含敏感数据的完整查询参数。在 OAuth 流程中，这可能导致账户接管，因为开发者通常不会考虑通过第三方资源图片来窃取查询参数的可能性。该漏洞需要用户交互（打开恶意 HTML 页面），但这一步很容易通过钓鱼或被入侵的网站实现。

CVE-2025-10585：Chrome V8 类型混淆零日漏洞

Google 于 2025 年 9 月发布紧急安全更新，修复了 CVE-2025-10585，这是一个在野被积极利用的 V8 JavaScript 与 WebAssembly 引擎中的类型混淆漏洞。该漏洞由 Google Threat Analysis Group（TAG）于 2025 年 9 月 16 日发现并报告，被评定为高危，并确认存在实际利用。

类型混淆漏洞发生在 Chrome 未正确验证其正在处理的对象类型时，将一种数据类型错误地当作另一种使用，例如将列表当作单个值，或将数字当作文本。这会导致不可预测的行为，并允许攻击者通过恶意或被入侵的网站上的精心构造的 JavaScript 操作内存并实现远程代码执行。该漏洞影响 Windows/macOS 上 140.0.7339.185/.186 之前的版本，以及 Linux 上 140.0.7339.185 之前的版本。

CVE-2025-10585 是 2025 年第六个被公开确认与在野利用相关的 Chrome 零日漏洞，之前的包括 CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554 和 CVE-2025-6558。安全研究人员强调，V8 中的类型混淆漏洞尤为危险，因为一旦引擎被欺骗而错误解析内存布局，攻击者即可破坏内存、导致浏览器崩溃，甚至在宿主系统上获得代码执行权限，而这一切仅需诱使用户加载恶意页面或内容即可。由于已有 PoC 利用代码，未修补系统面临被大规模攻击的即时风险。

CVE-2025-5086：DELMIA Apriso 反序列化灾难

Dassault Systèmes 的 DELMIA Apriso 制造运营管理平台在 2025 年遭遇了 CVE-2025-5086，这是一个对不可信数据进行反序列化的严重漏洞，CVSS 评分为 9.0。该漏洞影响 DELMIA Apriso 从 Release 2020 到 Release 2025 的版本，并于 2025 年 6 月 2 日修复，但在修复前已出现实际利用。

在 SANS Internet Storm Center 于 2025 年 9 月 3 日报告观察到真实攻击后，CISA 于 9 月 11 日将该漏洞加入 KEV 目录。该漏洞允许远程未认证攻击者通过向存在漏洞的端点发送恶意 SOAP/HTTP 请求，在无需认证的情况下执行任意代码。安全研究员 Johannes Ullrich 观察到攻击源 IP 为 156.244.33[.]162，攻击载荷为嵌入在 XML 中的 Base64 编码、GZIP 压缩的 .NET 可执行文件。

该恶意载荷被识别为 Windows 可执行程序 “Trojan.MSIL.Zapchast.gen”，用于网络间谍活动，包括键盘记录、屏幕截图以及收集活动应用列表。DELMIA Apriso 被广泛用于生产流程的数字化与监控，部署于汽车、航空航天、电子、高科技和工业设备等行业，支持生产计划、质量管理、资源分配和仓储管理等功能。对该平台的利用对运营技术环境和制造业关键基础设施构成了重大威胁。

CVE-2025-41244：VMware 被国家级攻击者利用的权限提升漏洞

VMware Aria Operations 和 VMware Tools 中存在 CVE-2025-41244，这是一个本地权限提升漏洞，CVSS 评分为 7.8，在公开披露前已被与国家背景相关的攻击者利用。该漏洞于 2025 年 9 月 29 日披露，但 NVISO 的研究人员确认，一个复杂的中国国家级威胁组织 UNC5174 至少从 2024 年 10 月中旬起就已秘密利用该漏洞。

该漏洞影响安装了 VMware Tools 且由启用了 Service Discovery Management Pack（SDMP）的 Aria Operations 管理的系统，允许具有非管理员权限的本地攻击者在同一虚拟机内将权限提升至 root。漏洞存在于服务发现功能中 get-versions.sh 脚本的 get_version 函数，该函数使用了过于宽松的正则匹配，可能匹配到用户可写目录中的非系统二进制文件，从而形成不可信搜索路径漏洞（CWE-426）。

成功利用后，攻击者可获得提升的权限，从而完全控制受影响系统。该漏洞影响 VMware Aria Operations 8.18.5 之前版本、VMware Cloud Foundation Operations 9.0.1.0 之前版本，以及 VMware Tools 13.0.5.0、13.0.5 和 12.5.4 之前版本。Broadcom 在发布安全公告时未披露存在在野利用，引发了网络安全社区的批评，研究人员指出这使组织无法及时了解真实的威胁程度。

CVE-2025-53690：Sitecore 反序列化攻击

Sitecore Experience Manager（XM）和 Experience Platform（XP）遭遇了 CVE-2025-53690 的严重利用，这是一个对不可信数据进行反序列化的漏洞（CVSS 9.0），影响 9.0 及之前版本。Mandiant Threat Defense 发现攻击者利用 ViewState 反序列化攻击，并滥用了一个在 2017 年及更早的 Sitecore 部署指南中公开过的示例 machine key。

该漏洞影响使用公开示例密钥部署多个 Sitecore 产品的客户，尤其是 Sitecore XP 9.0 和 Active Directory 1.4 及更早版本。Sitecore 确认新版部署会自动生成唯一的 machine key，并已通知受影响客户。该漏洞允许攻击者通过不安全的反序列化注入并执行任意代码。

攻击者首先利用 ViewState 反序列化漏洞入侵暴露在互联网上的 Sitecore 实例，实现远程代码执行。解密后的 ViewState 负载中包含 WEEPSTEEL 恶意软件，用于内部侦察。成功利用后，攻击者打包 Web 应用根目录以获取 web.config 等敏感文件，部署 EARTHWORM 网络隧道工具、DWAGENT 远程访问工具以及 SHARPHOUND Active Directory 侦察工具。攻击者还创建本地管理员账户，转储 SAM/SYSTEM 注册表 hive 以窃取缓存的管理员凭据，并通过 RDP 实现横向移动。

总结

2025 年被利用最频繁的 20 个漏洞展示了威胁行为者不断提升的技术水平，以及组织在保护现代 IT 基础设施方面面临的持续挑战。这些漏洞的平均 CVSS 评分为 8.5，其中多个达到了最高严重级别 10.0，对企业安全态势构成了关键风险。

从分析中可以看出若干关键趋势：第一，反序列化漏洞仍然是企业应用的顽疾，在最常被利用的 20 个漏洞中占据了 6 个（CVE-2025-55182、CVE-2025-59287、CVE-2025-5086、CVE-2025-53690）。

第二，针对操作系统内核和驱动的权限提升漏洞，仍然是攻击者建立持久访问的重要手段（CVE-2025-62221、CVE-2025-62215、CVE-2025-48572、CVE-2025-48633、CVE-2025-41244、CVE-2025-32463）。

第三，网络基础设施设备（包括防火墙、VPN 和网关）持续成为国家级攻击者的重点目标（CVE-2025-5777、CVE-2025-20333、CVE-2025-20362、CVE-2025-9242）。

必须采用多层防御策略，并优先采取以下措施:对暴露在互联网或处理不可信数据的系统进行立即修补应是最高优先级，尤其是 CVSS 满分级别的漏洞，如 CVE-2025-55182 和 CVE-2025-32433。

实施网络分段以隔离关键系统、限制横向移动至关重要，特别是针对易受 CVE-2025-5086 和 CVE-2025-41244 影响的运营技术环境。加强监控与日志记录，以检测漏洞利用尝试，尤其是反序列化攻击和权限提升行为，可提供关键的早期预警能力。

2025 年观察到的快速利用节奏（例如 CVE-2025-55182 和 CVE-2025-48384 在披露后数小时内即出现 PoC），凸显了主动安全态势和完备事件响应能力的重要性。随着网络安全形势的持续演进，必须认识到漏洞管理不仅是技术问题，更是一项需要高层关注、充足资源投入和持续警惕的战略性任务。

2025 年的漏洞利用趋势很可能延续到2026 年，威胁行为者将越来越多地瞄准供应链依赖、云基础设施以及运营技术系统。只有通过全面的纵深防御策略、及时修补以及持续监控，组织才能有效降低这些关键漏洞带来的风险。

(全文完)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：二进制空间安全《梳理2025年被利用最广泛和风险最高Top20漏洞》