文章总结： 美国FBI与CISA联合发布2016-2026年十大最常被利用漏洞清单，重点披露微软OLE技术（CVE-2017-11882、CVE-2017-0199等）与ApacheStruts（CVE-2019-19781等）为最常被攻击目标，涵盖Office、SharePoint、.NET框架及Drupal等产品，并强调通过更新至最新安全补丁可缓解风险 综合评分： 56 文章分类： 漏洞分析,威胁情报,漏洞预警

2016年至2026年十大最常被利用的漏洞列表

TtTeam

2026年4月23日 17:09 海南

在小说阅读器读本章

去阅读

美国联邦调查局 (FBI) 和国土安全部网络安全局 (DHS) 以及网络安全和基础设施安全局 (CISA) 的研究人员发布了一份 2016 年至 2026 年期间最常被利用的漏洞列表。

由于这将导致黑客开发新的漏洞利用程序，简而言之，为了开发新的漏洞利用程序，他们必须投入资源；为了证明和支持上述声明，美国政府官员发表了以下声明。

美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 联合发布的安全警报包含以下几点，必须予以考虑：

微软的对象链接和嵌入（OLE）是最常被攻击者攻击的技术，它允许 Office 文档嵌入来自其他应用程序的内容。

CVE-2017-11882、CVE-2017-0199 和 CVE-2012-0158 是政府支持的黑客组织利用最多的安全漏洞。

第二大最常被攻击的技术是“Apache Struts”。CVE-2019-19781 和 CVE-2019-11510 是 2026 年最常被利用的两个漏洞。

近来，由于 COVID-19 疫情，许多组织转向居家办公模式，而这一转变过程导致微软 Office 365 部署出现配置错误。

以下是2016年至2026年间被利用次数最多的漏洞列表：

1. CVE-2017-11882

• 受影响产品：Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016 产品
• 相关恶意软件：Loki、FormBook、Pony/FAREIT
• 修复：微软已于 2017 年 11 月修复了此问题。
• 缓解措施：必须将所有微软产品更新到最新的安全补丁。

1. CVE-2017-0199

• 受影响产品：Microsoft Office 2007 SP3/2010 SP2/2013 SP1/2016、Vista SP2、Server 2008 SP2、Windows 7 SP1、Windows 8.1
• 相关恶意软件：FINSPY、LATENTBOT、Dridex
• 修复：微软已于 2017 年 4 月修复了此问题。
• 缓解措施：必须将所有微软产品更新到最新的安全补丁。

1. CVE-2017-5638

• 受影响产品：Apache Struts 2 2.3.x 版本（2.3.32 之前的版本）和 2.5.x 版本（2.5.10.1 之前的版本）。
• 相关恶意软件：JexBoss
• 修复：Oracle 已于 2017 年 9 月修复了此问题。
• 缓解措施：必须升级到“Struts 2.3.32 或 Struts 2.5.10.1”。

1. CVE-2012-0158

• 受影响产品：Microsoft Office 2003 SP3、2007 SP2 和 SP3 以及 2010 Gold 和 SP1；Office 2003 Web Components SP3；SQL Server 2000 SP4、2005 SP4 以及 2008 SP2、SP3 和 R2；BizTalk Server 2002 SP1；Commerce Server 2002 SP4、2007 SP2 以及 2009 Gold 和 R2；Visual FoxPro 8.0 SP1 和 9.0 SP2；以及 Visual Basic 6.0
• 相关恶意软件：Dridex
• 修复：微软已于 2012 年 4 月修复了此问题。
• 缓解措施：必须将所有微软产品更新到最新的安全补丁。

1. CVE-2019-0604

• 易受攻击的产品：Microsoft SharePoint
• 修复：微软已于 2019 年 2 月修复了此问题。
• 缓解措施：必须将所有微软产品更新到最新的安全补丁。

1. CVE-2017-0143

• 受影响的产品：Microsoft Windows Vista SP2；Windows Server 2008 SP2 和 R2 SP1；Windows 7 SP1；Windows 8.1；Windows Server 2012 Gold 和 R2；Windows RT 8.1；Windows 10 Gold、1511 和 1607；以及 Windows Server 2016
• 相关恶意软件：多个恶意软件利用了 EternalSynergy 和 EternalBlue 漏洞利用工具包
• 修复：微软已于 2017 年 3 月修复了此问题。
• 缓解措施：必须将所有微软产品更新到最新的安全补丁。

1. CVE-2018-4878

• 受影响产品：Adobe Flash Player 28.0.0.161 之前的版本
• 相关恶意软件：DOGCALL
• 修复：Adobe 已于 2018 年 2 月修复了此问题。
• 缓解措施：必须将 Adobe Flash Player 更新到最新版本并安装最新的安全补丁。

1. CVE-2017-8759

• 受影响产品：Microsoft .NET Framework 2.0、3.5、3.5.1、4.5.2、4.6、4.6.1、4.6.2 和 4.7
• 相关恶意软件：FINSPY、FinFisher、WingBird
• 修复：该问题已于 2017 年 9 月由微软修复。
• 缓解措施：必须将所有微软产品更新到最新的安全补丁。

1. CVE-2015-1641

• 受影响产品：Microsoft Word 2007 SP3、Office 2010 SP2、Word 2013 SP1、Word 2013 RT SP1、Word for Mac 2011、Office 兼容包 SP3、SharePoint Server 2010 SP2 和 2013 SP1 上的 Word Automation Services，以及 Office Web Apps Server 2010 SP2 和 2013 SP1
• 相关恶意软件：Toshliph、UWarrior
• 修复：微软已于 2015 年 4 月修复了此问题。
• 缓解措施：必须将所有微软产品更新到最新的安全补丁。

1. CVE-2018-7600

• 受影响的产品：Drupal 7.58 之前的版本、8.x 系列 8.3.9 之前的版本、8.4.x 系列 8.4.6 之前的版本以及 8.5.x 系列 8.5.1 之前的版本。
• 相关恶意软件：Kitty
• 修复：Drupal 社区已于 2018 年 3 月修复了此问题。
• 缓解措施：必须升级到最新版本的 Drupal，“Drupal 7 或 Drupal 8”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《2016年至2026年十大最常被利用的漏洞列表》