2026-01-07 02:39:07 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 2025年十大Web高危漏洞盘点：ReactServerComponents、Tomcat、FortiWeb、Langflow、SGLang、SharePoint、WingFTP、1Panel、SpringCloudGateway、OracleEBS均现无需认证即可RCE，CVSS9.8–10.0，部分已进CISAKEV并被勒索软件利用，官方补丁已发布，建议立即升级并限制管理端口暴露。 综合评分： 92 文章分类： 漏洞预警,WEB安全,远程代码执行,安全建设,应急响应

cover_image

2025年度十大 Web 应用系统高危漏洞盘点

原创

SAINTSEC

2026年1月6日 11:00 广东

本文档整理了 2025 年影响面广、危害极大且已被在野利用的十大 Web 系统高危漏洞。这些漏洞主要集中在通用框架、中间件及边界安全设备中，攻击方式以未授权远程代码执行（RCE）和认证绕过为主。

1. React Server Components 远程代码执行漏洞

CVE 编号：CVE-2025-55182 (React2Shell) / CVE-2025-66478 (Next.js)

CVSS 评分：10.0 (Critical)

漏洞类型：未授权远程代码执行 (RCE) / 反序列化

受影响组件：React Server Components (RSC), Next.js (App Router)

漏洞描述：RSC “Flight” 协议服务端存在反序列化缺陷。攻击者可通过发送特制的恶意 HTTP 请求（Payload），利用 React 在服务端处理组件时的反序列化逻辑，在无需认证的情况下触发远程代码执行。由于 React 及 Next.js 在现代 Web 开发中的广泛应用，该漏洞影响范围极广。目前已被 CISA 列入 KEV 目录，且存在公开的 PoC 和在野利用活动。

2. Apache Tomcat 远程代码执行漏洞

CVE 编号：CVE-2025-24813

CVSS 评分：9.8 (Critical)

漏洞类型：远程代码执行 / 文件上传 / 路径穿越

受影响组件：Apache Tomcat 10.1.x, 11.0.x 等主流版本

漏洞描述：Apache Tomcat 存在文件上传与路径穿越组合漏洞。攻击者可通过发送精心构造的 PUT 请求，利用路径穿越缺陷绕过安全限制，上传恶意的 JSP 文件并执行任意代码。该漏洞无需身份验证即可利用，被评为 2025 年上半年热度最高的漏洞之一，影响全球千万级服务器设备。

3. Fortinet FortiWeb 远程代码执行漏洞

CVE 编号：CVE-2025-64446 / CVE-2025-58034

CVSS 评分：9.8 (Critical)

漏洞类型：认证绕过 / 远程代码执行

受影响组件：Fortinet FortiWeb (WAF)

漏洞描述：FortiWeb 管理界面存在严重的 API 路径遍历漏洞，攻击者可利用该漏洞联动 CGI 处理链绕过认证，进而创建管理员账户并接管 WAF 设备。由于 FortiWeb 通常部署在网络边界，该漏洞使其成为极为理想的攻击入口。CISA 已将其加入已知被利用漏洞（KEV）目录，官方建议立即升级并限制管理端口暴露。

4. Langflow 未授权远程代码执行漏洞

CVE 编号：CVE-2025-3248 / CVE-2025-34291

CVSS 评分：9.8 (Critical)

漏洞类型：未授权远程代码执行 / 代码注入

受影响组件：Langflow (AI 工作流构建工具)

漏洞描述：Langflow 的 API 端点（如 /api/v1/validate/code）存在未授权访问与代码注入漏洞。攻击者可通过发送特制请求，直接在服务器上执行任意 Python 代码，从而获取服务器完全控制权。该漏洞在 2025 年 6 月被发现后，迅速被用于传播 Flodrix 僵尸网络，严重威胁 AI 应用开发平台及供应链安全。

5. SGLang 大模型推理框架远程代码执行漏洞

CVE 编号：CVE-2025-10164 (ShadowMQ)

CVSS 评分：9.8 (Critical)

漏洞类型：不安全反序列化 / 远程代码执行

受影响组件：SGLang, vLLM 等 AI 推理框架

漏洞描述：高性能大模型推理框架 SGLang 存在 “ShadowMQ” 模式下的不安全反序列化漏洞。攻击者可通过构造恶意的推理请求，利用 Python 的 pickle 反序列化机制在 GPU 服务器上执行任意系统命令。该漏洞源于开源 AI 社区的代码复用，导致不安全的反序列化逻辑在多个顶级 AI 框架中扩散，影响大量 GPU 算力基础设施。

6. Microsoft SharePoint Server 远程代码执行漏洞

CVE 编号：CVE-2025-53770 / CVE-2025-49704 (ToolShell 攻击链)

CVSS 评分：9.8 (Critical)

漏洞类型：反序列化 / 远程代码执行

受影响组件：Microsoft SharePoint Server 2016/2019/Subscription Edition

漏洞描述：SharePoint Server 存在被称为 “ToolShell” 的严重反序列化漏洞链。核心漏洞 CVE-2025-53770 允许攻击者利用 CompressedDataTable 中的 Scorecard:ExcelDataSet 属性实现 .NET 反序列化攻击。配合身份验证绕过漏洞，攻击者可在无需认证的情况下完全控制 SharePoint 服务器，并以此为跳板横向移动至企业内网。

7. Wing FTP Server 远程代码执行漏洞

CVE 编号：CVE-2025-47812

CVSS 评分：10.0 (Critical)

漏洞类型：空字节注入 / 远程代码执行

受影响组件：Wing FTP Server (v7.4.4 之前版本)

漏洞描述：知名跨平台 FTP 服务器软件 Wing FTP Server 存在空字节注入漏洞。攻击者可通过在用户名参数中注入特殊字符（空字节），将恶意 Lua 代码植入会话文件。当执行特定操作时，这些代码将以系统最高权限（root/SYSTEM）执行。该漏洞已被 CISA 列入 KEV，并在披露后 1 天内出现活跃利用。

8. 1Panel 服务器管理面板远程代码执行漏洞

CVE 编号：CVE-2025-54424

CVSS 评分：9.8 (Critical)

漏洞类型：证书验证绕过 / 远程代码执行

受影响组件：1Panel (v2.0.5 及以下)

漏洞描述：国内流行的开源服务器管理面板 1Panel 的 Agent 组件存在 TLS 证书验证绕过漏洞。攻击者可伪造特定 CN（如 “panel_client”）的证书绕过认证，通过 WebSocket 接口向 Agent 发送恶意指令，实现完全控制服务器（如反弹 Shell、植入挖矿程序）。该漏洞利用成功率极高且无需用户交互。

9. Spring Cloud Gateway 代码执行漏洞

CVE 编号：CVE-2025-41243

CVSS 评分：10.0 (Critical)

漏洞类型：代码执行 / 环境变量修改

受影响组件：Spring Cloud Gateway Server WebFlux

漏洞描述：Spring Cloud Gateway Server WebFlux 存在严重的代码执行漏洞。当攻击者可接触到 Spring Boot Actuator 的路由端点时，可构造恶意请求修改相关环境变量，从而触发远程代码执行。该漏洞是针对此前 CVE-2022-22947 修复方案的绕过，官方已发布紧急安全更新。

10. Oracle E-Business Suite 远程代码执行漏洞

CVE 编号：CVE-2025-61884

CVSS 评分：9.8 (Critical)

漏洞类型：远程代码执行

受影响组件：Oracle E-Business Suite (EBS) / Oracle Configurator

漏洞描述：Oracle EBS 的 Configurator 组件中存在高危漏洞，允许未经身份验证的远程攻击者通过 HTTP 协议完全接管受影响的服务器。尽管部分早期分析将其评分为 7.5，但在野利用链显示其可导致完全的远程代码执行（RCE），被勒索软件团伙（如 Cl0p）视为重要的初始入侵入口。

注：以上漏洞均已发布官方补丁或缓解措施。建议各组织对照 CVE 编号立即排查资产，优先修复被列入 CISA KEV 的漏洞。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SAINTSEC SAINTSEC《2025年度十大 Web 应用系统高危漏洞盘点》