所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯云安全中心定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年4月份必修安全漏洞清单:
九、Craft CMS远程代码执行漏洞(CVE-2025-32432)
漏洞介绍及修复建议详见后文
腾讯云安全近期监测到关于Vite的风险公告,漏洞编号:TVD-2025-10018 (CVE编号:CVE-2025-31486,CNNVD编号:CNNVD-202504-684)。成功利用此漏洞的攻击者,最终可读取服务器上的任意敏感文件。
Vite 是一款面向现代前端开发的高性能构建工具,其创新性地利用浏览器原生 ES 模块(ESM)支持,彻底重构了传统前端开发流程。通过独特的按需编译机制,Vite 在开发模式下摒弃了传统打包方案,转而采用浏览器原生模块加载方式,不仅实现了毫秒级的热更新(HMR)响应和极速的服务器启动,还完美支持 Vue、React、Svelte 等主流框架,并原生集成 TypeScript、CSS 预处理器等现代化开发功能。在生产环境构建方面,Vite 基于 Rollup 进行深度优化,确保最终输出的静态资源具有卓越的性能表现,为开发者提供从开发到部署的全流程高效解决方案。
据描述,该漏洞源于Vite开发服务器在处理特定URL请求时,未对路径进行严格的校验,攻击者可通过构造包含特殊字符的恶意请求绕过路径访问限制,读取服务器上的任意文件。
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
8.5 |
Viet <= 4.5.11
5.0.0 <= Vite <= 5.4.16
6.0.0 <= Vite <= 6.0.13
6.1.0 <= Vite <= 6.1.3
6.2.0 <= Vite <= 6.2.4
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/vitejs/vite/releases
2. 临时缓解方案:
- 只有明确将 Vite开发服务器公开(使用 `--host` 或`server.host` 配置选项)的应用程序才会受到该漏洞影响,启用vite服务器时去掉--host参数或在server.host配置处取消公网开放
- 配置防火墙或网络规则,仅允许特定IP地址或IP段访问
二、Vite 任意文件读取漏洞
腾讯云安全近期监测到关于Vite的风险公告,漏洞编号:TVD-2025-11706 (CVE编号:CVE-2025-32395,CNNVD编号:CNNVD-202504-1820)。成功利用此漏洞的攻击者,最终可读取服务器上的任意敏感文件。
当Vite开发服务器运行在Node.js或Bun上时,由于Node.js/Bun的HTTP实现未严格遵循RFC 9112规范,允许包含#的非法请求透传到应用层,而Vite开发服务器错误假设req.url不会包含#,攻击者可通过构造包含#的请求绕过server.fs.deny文件访问限制,从而读取系统任意文件。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
8.5 |
Vite <= 4.5.12
5.0.0 <= Vite <= 5.4.17
6.0.0 <= Vite <= 6.0.14
6.1.0 <= Vite <= 6.1.4
6.2.0 <= Vite <= 6.2.5
1.官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/vitejs/vite/releases
2. 临时缓解方案:
- 只有明确将 Vite开发服务器公开(使用 `--host` 或`server.host` 配置选项)的应用程序才会受到该漏洞影响,启用vite服务器时去掉--host参数或在server.host配置处取消公网开放
- 避免在非Deno环境(例如Node、Bun)上运行Vite开发服务器
- 配置防火墙或网络规则,仅允许特定IP地址或IP段访问
三、Langflow远程代码执行漏洞
腾讯云安全近期监测到关于Langflow的风险公告,漏洞编号为TVD-2025-11026 (CVE编号:CVE-2025-3248,CNNVD编号:CNNVD-202504-1135),成功利用此漏洞的攻击者,最终可远程执行代码。
Langflow 是一款基于 Python 开发的开源低代码可视化 AI 应用构建平台,专为简化复杂 AI 工作流的开发流程而设计。该平台通过直观的拖放式组件界面,使开发者能够快速构建和部署各类 AI 应用,包括智能聊天机器人、文档分析系统和自动化内容生成工具等。其核心架构支持多智能体协同管理、基于向量数据库的 RAG(检索增强生成)技术实现高效语义检索,并提供灵活的部署选项,既可在主流云平台运行,也可本地部署,同时支持将工作流导出为 API 或 Python 应用程序。Langflow特别强调企业级特性,在保持低代码易用性的同时,允许通过 Python 代码深度定制组件,确保满足不同规模企业的安全性要求和扩展性需求,为 AI 应用开发提供了从原型设计到生产部署的完整解决方案。
据描述,该漏洞源于Langflow的/api/v1/validate/code接口未设置任何身份验证机制,接口直接调用 Python的exec()函数执行用户输入且未对输入内容进行危险操作过滤,攻击者可构造特殊请求远程执行代码,最终获取服务器权限。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
Langflow < 1.3.0
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/langflow-ai/langflow/releases/
2. 临时缓解方案:
- 利用安全组设置仅对可信地址开放
- 为该接口设置鉴权
四、Dify 任意密码重置漏洞
腾讯云安全近期监测到关于Dify的风险公告,漏洞编号为TVD-2024-41101 (CVE编号:CVE-2024-12776,CNNVD编号:CNNVD-202503-2296),成功利用此漏洞的攻击者,最终可重置任意密码,获取管理员权限。
Dify 是一款开源的生成式AI应用开发平台,支持通过低代码/无代码方式快速构建和部署基于大语言模型的应用程序。其核心功能包括可视化AI工作流编排、RAG管道、智能体开发及多模态工具集成,提供从Prompt设计到模型管理的全流程支持。平台支持私有化部署,确保数据隐私,并兼容多种模型服务商,适用于构建聊天助手、智能客服、网页分析等场景,尤其适合需要灵活扩展与安全可控的企业级应用。
当用户请求密码重置时,Dify会生成令牌并通过邮件发送验证码,当用户被重定向至验证页面调用/forgot-password/validity 接口完成校验后,重置端点 /forgot-password/resets 却未验证请求来源,攻击者可绕过邮箱验证环节直接访问该接口,最终重置任意用户密码。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
中 |
|
利用难度 |
低 |
|
漏洞评分 |
8.1 |
Dify <= 1.3.1
1. 官方暂未发布漏洞补丁及修复版本,请持续关注官方公告,待修复版本发布评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/langgenius/dify/releases
2. 临时缓解方案:
- 如无必要,避免暴露至公网
- 利用安全组设置仅对可信地址开放
五、Microsoft Telnet Server MS-TNAP 身份认证绕过漏洞
腾讯云安全近期监测到关于Microsoft Telnet Server MS-TNAP的风险公告,漏洞编号为 TVD-2025-14517。成功利用此漏洞的攻击者,可绕过身份验证,获取管理员权限。
Telnet 协议是 TCP/IP 协议族中的一种,是 Internet 远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。而 MS-TNAP(Microsoft Telnet Server Authentication Protocol)是微软为 Telnet 服务器开发的认证扩展协议,基于 NTLM 增强安全性。
据描述,在Telnet服务器的MS-TNAP中,由于服务端在NTLM认证过程中错误配置了 SECPKG_CRED_BOTH和ASC_REQ_MUTUAL_AUTH 标志,导致认证流程出现逻辑缺陷,攻击者可通过构造恶意的MS-TNAP协议数据包实现反转认证方向,使服务端错误地验证自身身份而非客户端,最终造成完全的身份验证绕过,使攻击者无需任何凭证即可获得管理员权限的Telnet会话访问。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
Windows 2000
Windows XP
Windows Vista
Windows 7
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://msrc.microsoft.com/update-guide
2. 临时缓解方案:
- 禁用 Telnet 服务器服务
- 限制 Telnet 端口的访问来源,仅允许可信 IP 或内网访问
- 使用应用程序控制来阻止未经授权的 Telnet 客户端连接
六、Ivanti 多款产品远程代码执行漏洞
腾讯云安全近期监测到Ivanti官方发布了关于Ivanti多款产品的风险公告,漏洞编号为TVD-2025-10575 (CVE编号:CVE-2025-22457,CNNVD编号:CNNVD-202504-663)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Ivanti Connect Secure 是 Ivanti 公司推出的企业级 SSL VPN 安全解决方案,致力于为现代企业提供全方位的远程安全接入服务。该解决方案集成了多因素认证、端到端流量加密和集中式访问管理等核心安全功能,并通过持续的技术迭代显著增强了零信任安全能力,有效应对日益复杂的网络威胁环境。作为其前身产品,Pulse Connect Secure 曾为企业提供远程用户安全接入服务,目前该产品线已进入生命周期末期;Ivanti Policy Secure 策略管理组件,通过与 Connect Secure 深度集成,实现细粒度的访问控制策略分发与执行;Ivanti ZTA Gateways 基于零信任架构(Zero Trust Architecture)设计,专注于强化网络边界防护与动态访问授权能力,并支持自动化安全运维流程,为企业构建起完整的自适应安全防护体系。
据描述,该漏洞源于Ivanti上述产品存在代码缺陷,未经身份验证的远程攻击者可发送特制的请求触发堆栈缓冲区溢出,最终远程执行任意代码。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
Ivanti Connect Secure <= 22.7R2.5
Ivanti ZTA Gateways <= 22.8R2
Ivanti Policy Secure <= 22.7R1.4
Pulse Connect Secure (EoS) <= 9.1R18.9
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US
P.S. 针对 Pulse Connect Secure 9.1 用户,官方已不再提供支持和安全更新,建议用户联系 Ivanti 迁移至安全平台
2. 临时缓解方案:
- 如无必要,避免开放至公网
- 利用安全组设置仅对可信地址开放
七、SAP NetWeaver 任意文件上传漏洞
腾讯云安全近期监测到关于SAPNetWeaver的风险公告,漏洞编号为TVD-2025-13440 (CVE编号:CVE-2025-31324,CNNVD编号:CNNVD-202504-3657)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
SAP NetWeaver 是德国 SAP 公司推出的一套企业级技术平台,主要用于构建、集成和运行 SAP 及第三方业务应用程序。它扮演着 SAP 生态系统中的“技术底座”角色,类似于微软的 .NET或 Java EE 平台,但专为企业级 ERP、CRM 等 SAP 解决方案设计。
据描述,在 SAP NetWeaver 的 Visual Composer 组件的 Metadata Uploader 功能中,由于缺失授权验证,导致未经身份验证的远程攻击者可利用元数据上传接口上传恶意文件,从而造成远程任意代码的执行。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
10 |
SAP NetWeaver Visual Composer <= 7.5.0
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://me.sap.com/notes/3594142
2. 临时缓解方案:
- 不影响正常业务的情况下关闭 Visual Composer 组件
- 限制对/developmentserver/metadatauploader 接口的访问
八、BentoML远程代码执行漏洞
腾讯云安全近期监测到关于BentoML的风险公告,漏洞编号为TVD-2025-11492 (CVE编号:CVE-2025-32375,CNNVD编号:CNNVD-202504-1577)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
BentoML是一个开源的Python框架,专注于机器学习模型的工业化部署与管理,通过提供模型打包、版本控制、自动化API服务构建及多环境部署能力,帮助开发者将训练好的模型快速转化为可扩展的生产级服务。其核心功能包括支持TensorFlow、PyTorch、Scikit-Learn等主流框架的模型封装,生成REST/gRPC API服务,集成模型优化技术(如ONNX运行时加速),并通过Yatai平台实现Kubernetes集群的大规模部署。
据描述,该漏洞源于runner_app.py文件中的_deserialize_single_param函数存在反序列化漏洞,攻击者可以通过构造恶意请求发送触发反序列化,最终远程执行任意代码。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
1.0.0 <= BentoML < 1.4.8
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/bentoml/BentoML/releases
2. 临时缓解方案:
- 如无必要,避免开放至公网
- 利用安全组设置仅对可信地址开放
九、Craft CMS 远程代码执行漏洞
腾讯云安全近期监测到Ivanti官方发布了关于Craft CMS的风险公告,漏洞编号为TVD-2025-13538 (CVE编号:CVE-2025-32432,CNNVD编号:CNNVD-202504-3719)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Craft CMS 是一款基于 PHP 和 Yii2 框架开发的企业级开源内容管理系统,专为构建高度定制化的数字体验平台而设计。该系统采用现代化的架构理念,通过无预设内容建模、基于 Twig 的模板引擎以及自动生成的 GraphQL API 等核心功能,为开发者与内容创作者提供了从企业官网、电子商务平台到无头应用的全场景解决方案。在技术实现上,Craft CMS 采用 Composer 进行高效的依赖管理,支持 MySQL 和 PostgreSQL 等多种数据库引擎,并通过丰富的插件商店提供数百个功能扩展,显著提升了系统的开发效率和可扩展性,使其成为满足各类复杂业务需求的理想内容管理平台。
据描述,Craft CMS 在处理generate-transform接口时未对用户输入的JSON数据进行严格校验,攻击者可构造包含恶意类定义的JSON载荷触发PHP反序列化漏洞,最终远程执行任意代码。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
3.0.0-RC1 <= Craft CMS < 3.9.15
3.0.0-RC1 <= Craft CMS < 4.14.15
5.0.0-RC1 <= Craft CMS < 5.6.17
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/craftcms/cms/releases
2. 临时缓解方案:
- 安装临时缓解补丁:
https://github.com/craftcms/security-patches
注意:该补丁只起缓解作用,建议升级到安全版本。
- 利用安全组设置仅对可信地址开放
十、Erlang/OTP SSH 远程代码执行漏洞
腾讯云安全近期监测到Erlang官方发布了关于Erlang/OTP的风险公告,漏洞编号为TVD-2025-12628 (CVE编号:CVE-2025-32433,CNNVD编号:CNNVD-202504-2737)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Erlang是一种通用的面向并发的编程语言,它由瑞典电信设备制造商爱立信所辖的CS-Lab 开发,目的是创造一种可以应对大规模并发活动的编程语言和运行环境。OTP(Open Telecom Platform)是其官方提供的标准库、框架和工具集,二者共同构成完整的开发平台。
据描述,该漏洞源于Erlang/OTP SSH的协议消息处理存在逻辑缺陷,攻击者可在未完成身份验证阶段时,通过构造特定格式的SSH协议消息,绕过SSH服务端的安全校验机制,直接触发远程代码执行。
漏洞状态:
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
10 |
Erlang/OTP <= 25.3.2.19
Erlang/OTP <= 26.2.5.10
Erlang/OTP <= 27.3.2
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,升级至安全版本
https://github.com/erlang/otp/releases
2. 缓解措施:
- 禁用 Erlang/OTP 的内置 SSH 服务
- 通过防火墙规则限制仅允许可信 IP 访问 Erlang/OTP 的内置 SSH 服务
原文始发于微信公众号(云鼎实验室):2025年4月企业必修安全漏洞清单
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论