信息安全漏洞月报(2025年3月)

admin
admin
admin
139658
文章
114
评论
2025年4月7日01:04:28评论16 views字数 8695阅读28分59秒阅读模式

信息安全漏洞月报(2025年3月)

信息安全漏洞月报(2025年3月)

点击蓝字 关注我们

信息安全漏洞月报(2025年3月)

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2025年3月采集安全漏洞共4024个。

本月接报漏洞1913个,其中信息技术产品漏洞(通用型漏洞)1610个,网络信息系统漏洞(事件型漏洞)303个。漏洞平台推送漏洞39536个。

重大漏洞通报

Apache Tomcat 环境问题漏洞(CNNVD-202503-1068/CVE-2025-24813):Apache Tomcat 11.0.0-M1至11.0.2版本、10.1.0-M1至10.1.34版本和9.0.0.M1至9.0.98版本存在环境问题漏洞。攻击者利用该漏洞可以远程执行代码或泄露敏感信息。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

公开漏洞情况

根据国家信息安全漏洞库(CNNVD)统计,2025年3月新增安全漏洞共4024个,从厂商分布来看,WordPress漏洞数量最多,共发布1128个;从漏洞类型来看,跨站脚本漏洞占比最大,达到15.73%。本月新增漏洞中,超危漏洞301个、高危漏洞1236个、中危漏洞2264个、低危漏洞223个,相应修复率分别为68.11%、72.50%、71.43%以及59.20%。合计2850个漏洞已有修复补丁发布,本月整体修复率70.83%。

1.1 漏洞增长概况

2025年3月新增安全漏洞4024个,与上月(3638个)相比增加了10.62%。根据近6个月漏洞新增数量统计图,平均每月漏洞数量达到3797个。

信息安全漏洞月报(2025年3月)

图1  2024年10月至2025年3月漏洞新增数量统计图

1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2025年3月厂商漏洞数量分布情况如表1所示,WordPress漏洞达到1128个,占本月漏洞总量28.03%。

表1  2025年3月新增漏洞排名前十厂商统计表

序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress
1128
28.03%
2
Linux
216
5.37%
3
Apple
159
3.95%
4
PHPGurukul
81
2.01%
5
Microsoft
66
1.64%
6
Vasion
49
1.22%
7
腾达
46
1.14%
8
Adobe
43
1.07%
9
IBM
39
0.97%
10
Code-Projects
37
0.92%

1.2.2 漏洞类型分布

2025年3月漏洞类型分布情况如表2所示,其中跨站脚本类漏洞所占比例最大,约为15.73%。

表2  2025年3月漏洞类型统计表

序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
633
15.73%
2
跨站请求伪造
211
5.24%
3
代码问题
190
4.72%
4
注入
137
3.40%
5
资源管理错误
124
3.08%
6
SQL注入
120
2.98%
7
缓冲区错误
114
2.83%
8
代码注入
112
2.78%
9
输入验证错误
73
1.81%
10
路径遍历
72
1.79%
11
访问控制错误
69
1.72%
12
信息泄露
48
1.19%
13
授权问题
44
1.09%
14
操作系统命令注入
38
0.94%
15
命令注入
28
0.70%
16
数据伪造问题
15
0.37%
17
信任管理问题
13
0.32%
18
日志信息泄露
13
0.32%
19
加密问题
7
0.17%
20
环境问题
6
0.15%
21
数字错误
4
0.10%
22
后置链接
4
0.10%
23
竞争条件问题
3
0.08%
24
安全特征问题
3
0.08%
25
参数注入
2
0.05%
26
格式化字符串错误
1
0.03%
27
权限许可和访问控制问题
1
0.03%

1.2.3 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低分为四个等级:超危、高危、中危和低危。2025年3月漏洞危害等级分布情况如图2所示,其中超危漏洞301个,占本月漏洞总量7.48%。

信息安全漏洞月报(2025年3月)

图2  2025年3月漏洞危害等级分布图

1.3漏洞修复情况

1.3.1 整体修复情况
2025年3月各危害等级修复情况如图3所示,低危漏洞修复率最高,为72.50%,超危漏洞修复率最低,为59.20%。
总体来看,本月整体修复率由上月的80.03%下降至本月的70.83%。

信息安全漏洞月报(2025年3月)

图3  2025年3月各危害等级修复情况统计图

1.3.2 厂商修复情况

2025年3月新增漏洞数量排名前十厂商修复情况如表3所示,合计1864个漏洞,占本月漏洞总量46.33%,平均修复率为68.22%。

表3  2025年3月厂商修复情况统计表

序号
厂商名称
漏洞数量(个)
修复数量
修复率
1
WordPress
1128
912
80.86%
2
Linux
216
213
98.62%
3
Apple
159
159
100.00%
4
PHPGurukul
81
0
0.00%
5
Microsoft
66
66
100.00%
6
Vasion
49
49
100.00%
7
腾达
46
0
0.00%
8
Adobe
43
43
100.00%
9
IBM
39
39
100.00%
10
Code-Projects
37
1
2.71%

接报漏洞情况

2025年3月接报漏洞1913个,其中信息技术产品漏洞(通用型漏洞)1610个,网络信息系统漏洞(事件型漏洞)303个。详情如表4所示。

表4  2025年3月接报漏洞情况表

序号
报送单位
漏洞数量
1
个人
506
2
内蒙古数字安全科技有限公司
362
3
北京天下信安技术有限公司
236
4
内蒙古旌云科技有限公司
174
5
华为技术有限公司
168
6
上海谋乐网络科技有限公司
75
7
北京安信天行科技有限公司
72
8
南京聚铭网络科技有限公司
72
9
工业和信息化部电子第五研究所
68
10
福建银数信息技术有限公司
60
11
北京中测安华科技有限公司
54
12
星云博创科技有限公司
54
13
奇安信网神信息技术(北京)股份有限公司
50
14
金盾检测技术股份有限公司
50
15
天翼数智科技(北京)有限公司
44
16
北京天融信网络安全技术有限公司
42
17
云盾智慧安全科技有限公司
40
18
中移(苏州)软件技术有限公司
40
19
成都安美勤信息技术股份有限公司
40
20
烽台科技(北京)有限公司
40
21
北京长亭科技有限公司
40
22
亚信科技(成都)有限公司
38
23
北京中睿天下信息技术有限公司
36
24
三六零数字安全科技集团有限公司
34
25
广州竞远安全技术股份有限公司
32
26
远江盛邦(北京)网络安全科技股份有限公司
32
27
深圳市鹏瑞软件有限公司
30
28
成都创信华通信息技术有限公司
30
29
中电智安科技有限公司
29
30
京东科技信息技术有限公司
28
31
新华三技术有限公司
28
32
安工科技有限公司
24
33
道普信息技术有限公司
24
34
河南悦海数安科技有限公司
24
35
天津市兴先道科技有限公司
22
36
北京艾阿无限科技有限公司
22
37
广州纬安科技有限公司
22
38
北京微步在线科技有限公司
22
39
途耀信息技术(上海)有限公司
20
40
广东信网数安科技有限公司
20
41
中资网络信息安全科技有限公司
20
42
思而听(山东)网络科技有限公司
20
43
杭州美创科技股份有限公司
20
44
锐捷网络股份有限公司
18
45
上海匡创信息技术有限公司
18
46
云南南天电子信息产业股份有限公司
18
47
北京启明星辰信息安全技术有限公司
18
48
江西诚韬科技有限公司
18
49
北京数智久安科技有限公司
16
50
深信服科技股份有限公司
16
51
南京共美科技有限公司
14
52
沈阳东软系统集成工程有限公司
14
53
中国电信股份有限公司毕节分公司
14
54
北京安普诺信息技术有限公司
14
55
广东省信息安全测评中心
14
56
上海斗象信息科技有限公司
14
57
凭阑江苏实验室科技有限公司
14
58
丽水安盾网络科技有限公司
14
59
浙江极安信息科技有限公司
12
60
任子行网络技术股份有限公司
12
61
联通(山东)产业互联网有限公司
12
62
快页信息技术有限公司
12
63
东方电气中能工控网络安全技术
(成都)有限责任公司
12
64
北京源堡科技有限公司
12
65
北京神州绿盟科技有限公司
12
66
西安交大捷普网络科技有限公司
12
67
北京天地和兴科技有限公司
12
68
海南省信投启明科技有限公司
12
69
深圳融安网络科技有限公司
12
70
天翼云科技有限公司
12
71
西安四叶草信息技术有限公司
10
72
山东维平信息安全测评技术有限公司
10
73
内蒙古思沃科技有限公司
10
74
上海戎磐网络科技有限公司
10
75
南京南自数安技术有限公司
10
76
广州天懋信息系统股份有限公司
10
77
江苏嘉恩网络安全科技有限公司
10
78
北京云科安信科技有限公司
10
79
中孚安全技术有限公司
10
80
北京安胜华信科技有限公司
10
81
山西晋信安科技有限公司
10
82
北京赛克艾威科技有限公司
10
83
内蒙古启正信息科技有限公司
10
84
中国工程物理研究院计算机应用研究所
8
85
北京安帝科技有限公司
8
86
北京华云安信息技术有限公司
8
87
温州市数据集团有限公司
8
88
北京锐服信科技有限公司
8
89
杭州迪普科技股份有限公司
8
90
北京时代新威信息技术有限公司
8
91
中國通信服務香港有限公司
8
92
上海擎标信息技术服务有限公司
8
93
福建省鲸之云盾网络科技有限公司
8
94
成都卫士通信息安全技术有限公司
8
95
苏州如意云网络科技有限公司
8
96
广东颐点科技有限公司
8
97
中兴通讯股份有限公司
8
98
合肥善达信息科技有限公司
8
99
中科方德软件有限公司
8
100
北京赛博昆仑科技有限公司
8
101
上海碳泽信息科技有限公司
8
102
甘肃安信信息安全技术有限公司
6
103
北京有略安全技术有限公司
6
104
长沙中格创新科技有限公司
6
105
长烽数智科技(山东)有限公司
6
106
上海见形信息科技有限公司
6
107
重庆云立图科技有限公司
6
108
湖南匡安网络技术有限公司
6
109
上饶市禾安信息科技有限公司
6
110
维安(山东)数字技术有限公司
6
111
中国移动通信集团山东有限公司
6
112
联通数字科技有限公司
6
113
青岛慧海联创信息技术有限公司
6
114
内蒙古长迈科技有限公司
6
115
广西南宁英福泰科信息科技有限公司
6
116
苏州棱镜七彩信息科技有限公司
6
117
安徽数安系统集成有限公司
6
118
江苏安国信检测技术有限公司
6
119
北京金睛云华科技有限公司
6
120
科来网络技术股份有限公司
6
121
湖南红点信息安全技术有限公司
6
122
上海上讯信息技术股份有限公司
6
123
南京赛宁信息技术有限公司
4
124
超聚变数字技术有限公司
4
125
内蒙古大唐国际托克托发电有限责任公司
4
126
华易数安科技(吉林省)有限公司
4
127
山东泽鹿安全技术有限公司
4
128
广东物安信息技术有限公司
4
129
浙江鑫诺检测技术有限公司
4
130
淮安易云科技有限公司
4
131
北京五一嘉峪科技有限公司
4
132
四川诚安数科信息科技有限公司
4
133
杭州安恒信息技术股份有限公司
4
134
上海纽盾科技股份有限公司
4
135
河南天祺信息安全技术有限公司
4
136
北京航空航天大学
4
137
江苏易安联网络技术有限公司
4
138
星舟有信(北京)信息技术有限公司
4
139
瑞数信息技术(上海)有限公司
4
140
成方金融信息技术服务有限公司
4
141
广州兴服通科技有限公司
4
142
北京浩瀚深度信息技术股份有限公司
4
143
贵州蓝天创新科技有限公司
4
144
北京国科数安科技有限公司
4
145
中国银联股份有限公司
4
146
万宗网络科技(上海)有限公司
4
147
北京威努特技术有限公司
4
148
北银金融科技有限责任公司
4
149
北方实验室(沈阳)股份有限公司
4
150
西安安迈信科科技有限公司
2
151
博智安全科技股份有限公司
2
152
广州非凡信息安全技术有限公司
2
153
南京国云电力有限公司
2
154
江苏君立华域信息安全技术股份有限公司
2
155
江苏保旺达软件技术有限公司
2
156
北京知道创宇信息技术股份有限公司
2
157
卫界安全科技(泰安)有限公司
2
158
北京江南天安科技有限公司
2
159
天津展望互联网络安全系统技术开发有限公司
2
160
江苏正信信息安全测试有限公司
2
161
浙江国利网安科技有限公司
2
162
北京信联数安科技有限公司
2
163
内蒙古洞明科技有限公司
2
164
杭州海康威视数字技术股份有限公司
2
165
广东财贸职业学院
2
166
浙江东安检测技术有限公司
2
167
北京山石网科信息技术有限公司
2
168
中科信息安全共性技术国家工程研究中心有限公司
2
169
统信软件技术有限公司
2
170
信飛科技有限公司
2
171
新疆量子通信技术有限公司
2
172
上海计算机软件技术开发中心
2
173
甘肃千浩信息科技有限公司
2
174
杭州中尔网络科技有限公司
2
175
中移动信息技术有限公司
2
176
宁波和利时信息安全研究院有限公司
2
177
零日信安(武汉市)技术有限责任公司
2
178
南京众智维信息科技有限公司
2
179
深圳昂楷科技有限公司
2
180
浙江德迅网络安全技术有限公司
2
181
北京网御星云信息技术有限公司
2
182
麒麟软件有限公司
2
183
北京聚力荣源科技有限公司
2
184
中乾建技术有限公司
2
185
北京基调网络股份有限公司
2
186
西安隆基智能技术有限公司
2
187
中电智安科技有限公司
1
188
上海谋乐网络科技有限公司
1
报送合计
1913

漏洞通报情况

3.1 通报情况

2025年3月接报通报1283个,详情情况如表5所示。

表5  2025年3月接报通报情况表

序号
报送单位
通报数量
1
奇安信网神信息技术(北京)股份有限公司
95
2
华为技术有限公司
79
3
中孚安全技术有限公司
66
4
北京中测安华科技有限公司
32
5
贵州多彩网安科技有限公司
29
6
云南南天电子信息产业股份有限公司
26
7
中国电信股份有限公司网络安全产品运营中心
21
8
南京南自数安技术有限公司
20
9
南京赛宁信息技术有限公司
18
10
思而听(山东)网络科技有限公司
18
11
北京金睛云华科技有限公司
17
12
北京华云安信息技术有限公司
16
13
京东科技信息技术有限公司
16
14
中國通信服務香港有限公司
15
15
快页信息技术有限公司
15
16
北京神州绿盟科技有限公司
15
17
浙江极安信息科技有限公司
15
18
杭州迪普科技股份有限公司
14
19
泉州延陵信息技术有限公司
14
20
亚信科技(成都)有限公司
13
21
星云博创科技有限公司
12
22
南京共美科技有限公司
12
23
广州纬安科技有限公司
12
24
沈阳东软系统集成工程有限公司
12
25
广州竞远安全技术股份有限公司
12
26
天翼数智科技(北京)有限公司
12
27
山西晋信安科技有限公司
12
28
北京锐服信科技有限公司
11
29
北银金融科技有限责任公司
11
30
成都安美勤信息技术股份有限公司
11
31
北京微步在线科技有限公司
11
32
北京安胜华信科技有限公司
11
33
自動系統(香港)有限公司
11
34
金盾检测技术股份有限公司
10
35
南京聚铭网络科技有限公司
10
36
联通(山东)产业互联网有限公司
10
37
维安(山东)数字技术有限公司
10
38
深圳市网安计算机安全检测技术有限公司
10
39
上海巨耕信息技术有限公司
10
40
中电智安科技有限公司
10
41
北京网藤科技有限公司
10
42
深圳融安网络科技有限公司
9
43
内蒙古大唐国际托克托发电有限责任公司
9
44
北京安天网络安全技术有限公司
9
45
江西诚韬科技有限公司
9
46
北京安信天行科技有限公司
9
47
塞讯信息技术(上海)有限公司
9
48
西安安迈信科科技有限公司
8
49
北京锦岳智慧科技有限公司
8
50
中移(苏州)软件技术有限公司
8
51
远江盛邦(北京)网络安全科技股份有限公司
8
52
凭阑江苏实验室科技有限公司
8
53
西安交大捷普网络科技有限公司
8
54
深信服科技股份有限公司
8
55
北京天融信网络安全技术有限公司
8
56
北京天地和兴科技有限公司
8
57
山东正中信息技术股份有限公司
8
58
北京国科数安科技有限公司
7
59
北京山石网科信息技术有限公司
7
60
北京众安天下科技有限公司
7
61
北京天下信安技术有限公司
7
62
深圳市鹏瑞软件有限公司
7
63
湖南红点信息安全技术有限公司
7
64
安徽数安系统集成有限公司
7
65
长沙中格创新科技有限公司
7
66
武汉零度信安信息技术有限公司
6
67
杭州安恒信息技术股份有限公司
6
68
道普信息技术有限公司
6
69
北京安帝科技有限公司
6
70
博智安全科技股份有限公司
6
71
上饶市禾安信息科技有限公司
6
72
成都卫士通信息安全技术有限公司
6
73
长扬科技(北京)股份有限公司
6
74
安工科技有限公司
6
75
广东信网数安科技有限公司
6
76
广东财贸职业学院
6
77
北京艾阿无限科技有限公司
6
78
上海今点软件有限公司
6
79
内蒙古启正信息科技有限公司
5
80
合肥善达信息科技有限公司
5
81
西安隆基智能技术有限公司
5
82
成都创信华通信息技术有限公司
5
83
北京有略安全技术有限公司
5
84
安徽溯源电子科技有限公司
5
85
广西网信信息技术有限公司
5
86
江苏君立华域信息安全技术股份有限公司
5
87
烽台科技(北京)有限公司
5
88
广东颐点科技有限公司
5
89
内蒙古中叶信息技术有限责任公司
5
90
重庆云立图科技有限公司
5
91
贵州蓝天创新科技有限公司
5
92
苏州棱镜七彩信息科技有限公司
5
93
信飛科技有限公司
5
94
南京南瑞信息通信科技有限公司
4
95
任子行网络技术股份有限公司
4
96
山东乾云启创信息科技股份有限公司
4
97
湖南省金盾信息安全等级保护评估中心有限公司
4
98
贵州粟字科技有限公司
4
99
北京启明星辰信息安全技术有限公司
4
100
广西南宁英福泰科信息科技有限公司
4
101
北京雪诺科技有限公司
4
102
北京赛博昆仑科技有限公司
4
103
北京赛克艾威科技有限公司
4
104
新基信息技术集团股份有限公司
4
105
云盾智慧安全科技有限公司
4
106
河南天祺信息安全技术有限公司
3
107
上海三零卫士信息安全有限公司
3
108
中国银联股份有限公司
3
109
江苏正信信息安全测试有限公司
3
110
江苏百达智慧网络科技有限公司
3
111
杭州榕数科技有限公司
3
112
河南悦海数安科技有限公司
3
113
广东物安信息技术有限公司
3
114
新华三技术有限公司
3
115
北京长亭科技有限公司
3
116
北京数智久安科技有限公司
3
117
郑州云智信安安全技术有限公司
3
118
杭州海康威视数字技术股份有限公司
3
119
安徽三实软件科技有限公司
3
120
上海戎磐网络科技有限公司
3
121
北京知道创宇信息技术股份有限公司
3
122
万宗网络科技(上海)有限公司
3
123
内蒙古旌云科技有限公司
2
124
广州松杨云创科技有限公司
2
125
途耀信息技术(上海)有限公司
2
126
北京威努特技术有限公司
2
127
零日信安(武汉市)技术有限责任公司
2
128
山东维平信息安全测评技术有限公司
2
129
北京信联数安科技有限公司
2
130
甘肃青鸾信息技术有限公司
2
131
广州非凡信息安全技术有限公司
2
132
工业和信息化部电子第五研究所
2
133
内蒙古网智科技服务有限责任公司
2
134
北京五一嘉峪科技有限公司
2
135
黑龙江智泽测评科技有限公司
2
136
江苏安国信检测技术有限公司
2
137
内蒙古长迈科技有限公司
2
138
四川诚安数科信息科技有限公司
2
139
北京聚力荣源科技有限公司
2
140
中通服创发科技有限责任公司
1
141
北京容辉智信科技有限公司
1
142
深圳市深信服信息安全有限公司
1
143
锐捷网络股份有限公司
1
144
浙江大华技术股份有限公司
1
145
青岛慧海联创信息技术有限公司
1
146
河南听潮盛世信息技术有限公司
1
147
浪潮电子信息产业股份有限公司
1
148
江苏嘉恩网络安全科技有限公司
1
149
天津市兴先道科技有限公司
1
150
北京时代新威信息技术有限公司
1
151
黑龙江安信与诚科技开发有限公司
1
152
甘肃安信信息安全技术有限公司
1
153
上海矢安科技有限公司
1
154
重庆梦之想科技有限责任公司
1
155
中国移动通信集团山东有限公司
1
156
广东省信息安全测评中心
1
157
河南灵创电子科技有限公司
1
158
北京基调网络股份有限公司
1
159
长烽数智科技(山东)有限公司
1
160
山东新潮信息技术有限公司
1
161
上海戟安科技有限公司
1
162
广东比特豹科技有限公司
1
报送合计
1283

3.2 重要漏洞

表6  2025年3月重要漏洞表

序号
漏洞名称
CNNVD ID/CVE ID
危害等级
1
CrushFTP 安全漏洞
CNNVD-202503-3102/
CVE-2025-2825
超危
2
Kubernetes ingress-nginx
安全漏洞
CNNVD-202503-2826/
CVE-2025-1974
超危
3
Linux kernel 安全漏洞
CNNVD-202503-2657/
CVE-2025-0927
高危
4
Next.js 安全漏洞
CNNVD-202503-2583/
CVE-2025-29927
超危
5
GLPI SQL注入漏洞
CNNVD-202503-2036/
CVE-2025-24799
高危
6
Fortinet FortiOS 格式化字符串错误漏洞
CNNVD-202503-1211/
CVE-2024-45324
高危
7
Apache Tomcat
环境问题漏洞
CNNVD-202503-1068/
CVE-2025-24813
超危
8
Laravel Framework
跨站脚本漏洞
CNNVD-202503-1034/
CVE-2024-13918
高危
9
Cognita 路径遍历漏洞
CNNVD-202503-926/
CVE-2025-27519
超危
10
Edimax IC-7100
操作系统命令注入漏洞
CNNVD-202503-562/
CVE-2025-1316
超危
11
Flowise 代码问题漏洞
CNNVD-202503-557/
CVE-2025-26319
超危

漏洞平台推送情况

2025年3月漏洞平台推送漏洞39536个。详情如表7所示。

表7  2025年3月漏洞平台推送情况表

序号
漏洞平台
漏洞总量
1
补天平台
6515
2
漏洞盒子
27314
3
360漏洞云
5707
推送总计
39536
信息安全漏洞月报(2025年3月)

原文始发于微信公众号(CNNVD安全动态):信息安全漏洞月报(2025年3月)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月7日01:04:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   信息安全漏洞月报(2025年3月)https://cn-sec.com/archives/3912645.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息