2026攻防演练必修高危漏洞集合(更新)

admin 2026-07-02 06:09:29 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文档为2026年攻防演练高危漏洞集合报告,整合斗象智能安全、漏洞盒子等数据源,系统梳理2025年10月至2026年6月期间红队高频利用的34个漏洞。核心内容涵盖远程代码执行、认证绕过、SQL注入等漏洞类型,涉及Oracle、Apache、Cisco等主流厂商产品,提供漏洞编号、资产类别及修复方案。报告旨在协助企业开展HW前风险自查,强化边界防护,针对性配置封堵策略。 综合评分: 78 文章分类: 漏洞预警,实战经验,安全建设,解决方案,WEB安全


cover_image

2026攻防演练必修高危漏洞集合(更新)

一起聊安全

2026年6月30日 09:03 北京

在小说阅读器读本章

去阅读

攻防演练必修漏洞清单汇总及文章如下:

HVV文章相关:

大佬眼中的HVV?

HVV在即,重大活动网络安全保障建设(两高一弱需重视)

高危漏洞集合:

2026攻防演练必修高危漏洞集合(2.0版)

2026攻防演练必修漏洞合集

2024攻防演练必修高危漏洞集合

2024攻防演练利器之118项必修高危漏洞合集

划重点:2024攻防演练需要关注的高危漏洞清单

警惕风险突出的100个高危漏洞(全)

2025 HVV将至,600+历年攻防演练必修漏洞合集!

《2025年攻防演练必修高危漏洞合集》

《2025HW必修高危漏洞集合(3.0版)》

护网大考!请你收下这份《2025年攻防演练必修漏洞清单》

高危风险漏洞一直是企业网络安全防护体系中的薄弱环节,更是HW攻防演练期间红队实现突破的关键切入点。每逢HW期间,大量高危漏洞被红队作为突破口集中利用,成为撕开企业网络边界防线的利器。不少企业正是由于未能及时修复此类漏洞,导致整体防御体系被轻易击穿,甚至靶标失守,最终遗憾出局。

2026HW攻防演练在即,斗象XVI扩展漏洞情报深度整合了漏洞盒子的实时海量数据、白帽社区的一手情报以及FreeBuf安全门户的安全资讯,发布《2026HW必修高危漏洞集合(1.0版)》。旨在协助企业在HW攻防演练前期开展精准的风险自查,最大程度消除已知高危隐患,加固网络边界防线。

本期报告整理收录了2025年10月至2026年6月在攻防演练中被红队利用最频繁且对企业危害较高的漏洞,包含了详细的漏洞基础信息、检测规则和修复方案,企业可根据自身资产信息进行针对性的排查、配置封堵策略和漏洞修复相关工作。

1

漏洞数据汇总

以下数据针对2025年10月至2026年6月期间,攻防演练中红队利用率较高的漏洞进行系统梳理,具体汇总如下:

  • 远程代码执行

漏洞数量:13个

涉及厂商:Oracle、Apache ActiveMQ、Veeam、Microsoft、React、Fortra、HPE、Samba、Ivanti、Fortinet、Apache Tomcat、Kubernetes、泛微

  • 认证/授权绕过

漏洞数量:3 个

涉及厂商:Check Point、Palo Alto Networks、Next.js

  • SQL 注入漏洞

漏洞数量:3 个

涉及厂商:Drupal、用友时空、孚盟云

  • 内存破坏/RCE风险

漏洞数量:2 个

涉及厂商:7-Zip、Google

  • 其他

漏洞数量:13

漏洞类型:命令注入/提权、反序列化、路径遍历/文件读取、反序列化绕过、本地提权、访问控制错误、任意文件下载

涉及厂商:Cisco、用友、XWiki、Apache、Linux Kernel、通达OA

2

本次高危漏洞自查列表

| | | | | | — | — | — | — | | 漏洞名称 | 漏洞编号 | 类型 | 资产类别 | | Check Point Remote Access VPN 认证绕过漏洞 | CVE-2026-50751 | 认证绕过 | 边界设备/VPN | | Oracle PeopleSoft 远程代码执行漏洞 | CVE-2026-35273 | 远程代码执行 | 企业应用/ERP | | Palo Alto Networks PAN-OS GlobalProtect 认证绕过漏洞 | CVE-2026-0257 | 认证绕过 | 边界设备/VPN | | Cisco Catalyst SD-WAN Manager 命令注入提权漏洞 | CVE-2026-20245 | 命令注入/提权 | 网络管理/SD-WAN | | Drupal   Core SQL 注入漏洞 | CVE-2026-9082 | SQL注入 | CMS/门户 | | Apache ActiveMQ Jolokia 远程代码执行漏洞 | CVE-2026-34197 | 远程代码执行 | 中间件/消息队列 | | OpenTelemetry Java Agent RMI 反序列化远程代码执行漏洞 | CVE-2026-33701 | 反序列化RCE | Java组件/可观测性 | | Veeam Service Provider Console 远程代码执行漏洞 | CVE-2026-32998 | 远程代码执行 | 备份/运维平台 | | Microsoft SharePoint ToolShell 远程代码执行漏洞 | CVE-2025-53770 | 反序列化RCE | 协同办公/门户 | | React Server Components React2Shell 远程代码执行漏洞 | CVE-2025-55182 | 远程代码执行 | Web框架/前端服务端渲染 | | Fortra GoAnywhere MFT 反序列化命令注入漏洞 | CVE-2025-10035 | 反序列化/命令注入 | 文件传输/MFT | | HPE OneView 远程代码执行漏洞 | CVE-2025-37164 | 远程代码执行 | 数据中心管理 | | Citrix NetScaler ADC/Gateway 高危漏洞 | CVE-2026-3055 | 敏感信息泄露/认证风险 | 边界设备/应用交付 | | 7-Zip NTFS 解析堆缓冲区溢出漏洞 | CVE-2026-48095 | 内存破坏/RCE风险 | 终端/文件处理 | | Google Chrome V8 零日漏洞 | CVE-2026-11645 | 内存破坏/RCE风险 | 浏览器/终端 | | WP Maps Pro WordPress 插件未授权管理员创建漏洞 | CVE-2026-8732 | 权限提升 | CMS插件/WordPress | | Kirki   WordPress 插件未授权账户接管漏洞 | CVE-2026-8206 | 账户接管 | CMS插件/WordPress | | XWiki 路径遍历漏洞 | CVE-2026-23734 | 路径遍历/文件读取 | 知识库/协同平台 | | Apache PyFory 反序列化策略绕过漏洞 | CVE-2026-48207 | 反序列化绕过 | 开发组件/序列化 | | Samba 打印子系统远程代码执行漏洞 | CVE-2026-4480 | 远程代码执行 | 文件共享/域环境 | | Linux Kernel Copy Fail 本地权限提升漏洞 | CVE-2026-31431 | 本地提权 | 操作系统/内核 | | Linux Kernel Fragnesia 本地权限提升漏洞 | CVE-2026-46300 | 本地提权 | 操作系统/内核 | | Cisco Secure Workload 访问控制错误漏洞 | CVE-2026-20223 | 访问控制错误 | 安全管理平台 | | Ivanti Connect Secure 栈溢出远程代码执行漏洞 | CVE-2025-0282 | 远程代码执行 | 边界设备/VPN | | Fortinet FortiVoice 远程代码执行漏洞 | CVE-2025-32756 | 远程代码执行 | 边界/通信设备 | | Apache Tomcat 远程代码执行漏洞 | CVE-2025-24813 | 远程代码执行/文件写入 | Web中间件 | | Next.js Middleware 授权绕过漏洞 | CVE-2025-29927 | 认证/授权绕过 | Web框架 | | Kubernetes ingress-nginx 远程代码执行漏洞 | CVE-2025-1974 | 远程代码执行 | 云原生/入口控制器 | | Erlang/OTP SSH 远程代码执行漏洞 | CVE-2025-32433 | 远程代码执行 | 开发组件/服务端 | | 用友时空KSOA save_folder 存在sql注入漏洞 | TVD-2026-17959 | SQL注入 | 国产ERP | | (CVE-2026-22679)   泛微 E-cology 10 Dubbo 调试接口远程代码执行漏洞 | CVE-2026-22679 | 远程代码执行 | 国产OA | | 孚盟云 PriceList.ashx SQL注入漏洞 | TVD-2026-15690 | SQL注入 | 国产CRM/外贸管理系统 | | 用友NC ResourceManagerServlet   反序列化漏洞 | TVD-2026-15337 | 反序列化 | 国产ERP | | 通达OA video_file.php 任意文件下载漏洞 | TVD-2026-15329 | 任意文件下载 | 国产OA |

全部内容请到帮会中下载,感谢支持!!

END

来源:斗象智能安全

freebuf 帮会简介

「一起聊安全」公众号及帮会致力于网络安全材料汇总与分享,围绕网络安全标准安全政策法规安全报告及白皮书安全会议、安全方案、新技术等方向,与FREEBUF知识大陆共建【一起聊安全】帮会,目前相关内容已有8000+,安全标准涵盖国标、行标、团标等,包括等保、关基、商密、数据安全、云计算、物联网、工业互联网、移动安全、风险评估、安全攻防等30+方向内容,覆盖最新安全政策法规、安全报告及白皮书等,为网安人提供最新最全资料。

*加入方式:网页端和APP*

网页端:https://wiki.freebuf.com/societyDetail?society_id=69

APP端:

加入帮会是所有材料均可下载!

点分享

点收藏

点在看

点点赞


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:一起聊安全 《2026攻防演练必修高危漏洞集合(更新)》

评论:0   参与:  0