文章总结： VulnCheck报告显示2025年披露超4万个漏洞仅1%被实际利用，CVSS评分参考价值降低，建议防御者转向关注已知被利用漏洞。网络边缘设备因代码陈旧成为攻击首选，微软SharePoint和React2Shell漏洞利用频繁。报告呼吁重新评估技术现状，增强系统韧性以抵御日益组织化的攻击。 综合评分： 85 文章分类： 漏洞分析,威胁情报,漏洞预警,安全建设

2025年安全漏洞疯长，但仅1%被用于攻击

原创

CyberScoop CyberScoop

安全行者老霍

2026年3月9日 09:01 美国

作者：MATT KAPKO

发布时间：2026年2月25日

VulnCheck公司Caitlin Condon指出，太多防御者和研究人员将精力浪费在毫无价值的缺陷和未经证实的漏洞利用概念上。

VulnCheck周三发布的报告指出，潜在攻击者在2025年面对逾4万个新披露漏洞的海洋，但其中仅1%（422个）漏洞在实际攻击中被利用。

随着漏洞数量逐年激增，CVSS评分对漏洞管理优先级排序的参考价值日益降低，部分防御者开始转向已知被利用漏洞的研究，以缩小工作范围并更侧重于已验证的风险。

VulnCheck安全研究副总裁Caitlin Condon向CyberScoop表示：“CVE数量的增长荒谬至极–虽非毫无依据，但规模实在庞大。防御者根本无从知晓该关注哪些漏洞，优先级排序仍是巨大难题。”

Condon补充道，太多防御者和研究人员将精力浪费在缺陷和未经证实的漏洞利用概念上。“曾经半可靠的风险指标，如今已不再有效。”

攻击者利用的技术往往由惯犯开发并销售。VulnCheck最常被攻击漏洞清单中的部分供应商占据着庞大的市场份额。

其他供应商–尤其是网络边缘设备领域的厂商–多年来持续遭受恶意活动侵袭，始终是各类攻击的首选入侵点。

据VulnCheck统计，去年受已知新漏洞影响的672款产品中，有191款属于网络边缘设备，占2025年最常被攻击技术的28%。

Condon指出：“任何位于网络边缘、守护企业网络访问通道的设备，尤其是那些保障安全通信的特权节点，天生就是大型攻击目标。”

问题更严峻的是，许多网络设备仍在运行近十年未曾重大更新的代码库。与此同时，攻击者已掌握这些软件副本，并通过全自动化分析管道快速识别新漏洞。

Condon指出：“当前威胁行为者的组织性远超我们防御体系的整体协调能力。”她补充道，防御方必须预判任何网络边缘设备随时可能出现新零日漏洞，且漏洞补丁将迅速被逆向开发成攻击工具。

VulnCheck报告中标记的50大漏洞，去年均在野被利用，至少存在20个可用的公开漏洞利用程序，攻击源自至少两个国家支持或网络犯罪威胁组织。被利用最频繁的漏洞还与至少一种勒索软件变种相关联，并出现在至少两个已知僵尸网络活动中。

去年十大最常被攻击漏洞中，有四项（CVE-2025-53770与CVE-2025-53771–系此前披露漏洞CVE-2025-49706和CVE-2025-49704的变种）存在于微软SharePoint系统中。这四个零日漏洞均遭大规模利用，最初导致超过400家机构遭受入侵，包括能源部、国土安全部及卫生与公众服务部。

VulnCheck确认这四项SharePoint漏洞共计存在69种已知利用方式。研究人员将这些漏洞的利用归因于29个威胁组织和18种勒索软件变种，但参与攻击者很可能同时利用了多个零日漏洞，导致部分漏洞存在利用重叠。

微软位居榜首，其产品去年出现的50个常规攻击漏洞中占9个。Ivanti贡献了5个漏洞，占去年最常被攻击漏洞的10%。Fortinet以4个漏洞位列VulnCheck榜单第三，VMware以3个漏洞紧随其后，而SonicWall和Oracle各以2个被利用缺陷跻身榜单前列。

2025年最受攻击的漏洞当属React2Shell–这是React服务器组件中一个最高危缺陷，在Meta和React团队公开披露不到一个月后，该漏洞就在年底前累积了236个有效的公开利用程序。

截至12月中旬，VulnCheck已验证其中逾200个公开漏洞利用程序，Palo Alto Networks Unit 42同时确认首轮攻击已造成60余家机构受损。

VulnCheck的研究揭示：归根结底，技术本身及其所有形态才是问题的症结所在。

Condon表示：“我们现在面临的局面已不仅是某个供应商或技术的单一问题。从大局来看，我们正遭受重创。必须立即且毫不留情地评估技术需要如何演进，才能在长期抵御此类攻击时具备更强的韧性。”

“我们需要更清醒地认识自身技术现状及其对网络安全的影响。”

Vulnerabilities grew like weeds in 2025, but only 1% were weaponized in attacks

https://wwv.vulncheck.com/2026-vulncheck-exploit-intelligence-report

（完）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 CyberScoop CyberScoop《2025年安全漏洞疯长，但仅1%被用于攻击》