前言
所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯云安全中心参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯云安全中心定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。以下是2025年5月份必修安全漏洞清单:
一、Ivanti Endpoint Manager Mobile代码执行漏洞(CVE-2025-4428)
二、vLLM PyNcclPipe pickle反序列化漏洞(CVE-2025-47277)
三、Kibana 原型污染远程代码执行漏洞(CVE-2025-25014)
四、Fortinet多款产品身份认证绕过漏洞 (CVE-2025-22252)
五、Apache Commons BeanUtils远程代码执行漏洞(CVE-2025-48734)
六、VMware vCenter Server远程命令执行漏洞(CVE-2025-41225)
七、vBulletin replaceAdTemplate远程代码执行漏洞(CVE-2025-48827)
八、kkfileview fileUpload文件上传漏洞(CVE-2025-4538)
漏洞介绍及修复建议详见后文
一
Ivanti Endpoint
Manager Mobile
代码执行漏洞
漏洞概述
腾讯云安全近期监测到Ivanti官方发布了关于Ivanti Endpoint Manager Mobile的风险公告,漏洞编号:TVD-2025-15482 (CVE编号:CVE-2025-4428,CNNVD编号:CNNVD-202505-1802)。成功利用此漏洞的攻击者,最终可以远程执行任意代码。
Ivanti Endpoint Manager Mobile (EPMM)是Ivanti公司推出的企业级移动设备管理解决方案,前身为MobileIron,专为现代混合办公环境设计。该平台提供全面的移动设备生命周期管理功能,包括设备注册、配置管理、应用分发、安全策略实施、远程擦除及合规监控等,支持iOS、Android等多种主流操作系统。EPMM通过集中化管理控制台,帮助企业高效管控员工移动设备,确保企业数据安全与合规性,同时优化移动办公体验。作为Ivanti端点管理战略的核心组件,EPMM可与其他Ivanti解决方案无缝集成,为企业提供端到端的混合设备管理能力。
Ivanti Endpoint Manager Mobile中的/api/v2/featureusage接口在处理用户提交的format参数时未对输入内容进行过滤或转义,且Ivanti Endpoint Manager Mobile使用的Hibernate Validator框架在构建错误消息模板时直接拼接了用户输入,攻击者可通过该参数注入恶意表达式,最终远程执行任意代码。
P.S. 该漏洞可结合 Ivanti Endpoint Manager Mobile 身份认证绕过漏洞(CVE-2025-4427)实现未经身份验证的远程代码执行。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
中 |
|
漏洞评分 |
8.8 |
影响版本
Ivanti Endpoint Manager Mobile < = 11.12.0.4
Ivanti Endpoint Manager Mobile <= 12.3.0.1
Ivanti Endpoint Manager Mobile <= 12.4.0.1
Ivanti Endpoint Manager Mobile <= 12.5.0.0
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://forums.ivanti.com/s/product-downloads
2. 临时缓解方案:
-
使用内置的ACL过滤对API的访问,具体可参考官方文档:https://help.ivanti.com/mi/help/en_us/core/12.x/sys/CoreSystemManager/Access_Control_Lists__Po.htm
二
vLLM PyNcclPipe pickle
反序列化漏洞
漏洞概述
腾讯云安全近期监测到关于vLLM的风险公告,漏洞编号为TVD-2025-16486 (CVE编号:CVE-2025-47277,CNNVD编号:CNNVD-202505-3087)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
vLLM是一个开源的高性能推理和服务库,旨在优化大型语言模型(LLM)的推理过程,提升推理速度、内存效率和吞吐量,适用于生产环境中的高并发和长序列任务。它采用动态张量并行技术,将计算分散到多个GPU或机器上,实现负载均衡;通过优化内存管理,减少内存开销,支持在内存有限的系统上运行更大模型;具备异步推理机制,可同时处理多个输入请求,提高推理速度和吞吐量;还支持多种解码算法、张量并行和流水线并行,能实现分布式推理和流式输出。
据描述,该漏洞源于vLLM框架的PyNcclPipe组件在分布式推理场景下处理KV缓存数据时,直接使用不安全的Python pickle模块对网络传入的序列化数据进行反序列化,且未实施任何输入验证或沙箱隔离机制,攻击者可借此构造包含恶意代码的pickle数据包发送至暴露的通信端口触发该漏洞,最终远程执行任意代码。
P.S. 该漏洞仅影响使用PyNcclPipe KV缓存传输与V0引擎集成的环境,其他配置不受影响。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级:
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
影响版本
0.6.5 <= vLLM < 0.8.5
修复建议
1.官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/vllm-project/vllm/releases
2. 临时缓解方案:
-
在专用隔离网络上部署vLLM节点
-
利用安全组设置仅对可信地址开放
三
Kibana 原型污染
远程代码执行漏洞
漏洞概述
腾讯云安全近期监测到关于Kibana的风险公告,漏洞编号为TVD-2025-14480 (CVE编号:CVE-2025-25014,CNNVD编号:CNNVD-202505-892)。成功利用此漏洞的攻击者,最终可以远程执行任意代码。
Kibana是Elastic公司开发的一款开源数据可视化和分析平台,专为Elasticsearch数据库设计,提供直观的仪表盘、图表和报表功能,帮助用户轻松探索、分析和可视化海量数据。它支持实时数据监控、日志分析、业务指标追踪等多种应用场景,通过丰富的可视化组件(如柱状图、折线图、地图等)和交互式仪表盘,使复杂数据变得易于理解。Kibana还具备强大的搜索和过滤能力,支持自定义报表和告警功能,并可集成机器学习模块进行异常检测,广泛应用于运维监控、安全分析、业务智能等领域,是企业数据分析和可视化的重要工具。
据描述,在Kibana中,当同时启用机器学习(Machine Learning)和报告(Reporting)功能时,存在原型污染漏洞,经过身份验证的攻击者通过发送精心构造的HTTP请求,污染JavaScript对象原型链,最终远程执行任意代码。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
未公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
中 |
|
漏洞评分 |
9.1 |
影响版本
8.3.0 <= Kibana <= 8.17.5
Kibana 8.18.0
Kibana 9.0.0
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://www.elastic.co/downloads/past-releases#kibana
2. 临时缓解方案:
-自托管部署的用户:建议禁用"机器学习"或"报表生成"功能之一。
-
禁用机器学习功能:在elasticsearch.yml配置文件中添加xpack.ml.enabled: false来完全禁用机器学习功能。或者在kibana.yml文件中添加xpack.ml.ad.enabled: false来禁用异常检测功能。
-
禁用报表生成功能:在kibana.yml配置文件中添加xpack.reporting.enabled: false来禁用该功能。
- Elastic Cloud部署的用户:
在Elastic CLoud服务环境中,代码执行被严格限制在Kibana Docker容器内部。通过seccomp-bpf和AppArmor安全模块的防护,有效阻断了容器逃逸等进一步攻击行为,显著降低了安全风险。
若暂时无法升级版本,云服务用户可采取额外防护措施——通过修改Kibana用户设置,添加以下配置来禁用"报表生成"功能:xpack.reporting.enabled: false
在Elastic Cloud上编辑Kibana用户设置的详细指南,请参阅官方文档:
https://www.elastic.co/docs/deploy-manage/deploy/elastic-cloud/edit-stack-settings#kibana-settings
四
Fortinet多款产品
身份认证绕过漏洞
漏洞概述
腾讯云安全近期监测到Fortinet官方发布了关于FortiOS、FortiProxy和FortiSwitchManager的风险公告,漏洞编号为TVD-2025-15734 (CVE编号:CVE-2025-22252,CNNVD编号:CNNVD-202505-3816),成功利用此漏洞的攻击者,可以绕过身份验证,获得管理员权限。
Fortinet FortiOS是Fortinet公司开发的网络安全操作系统,专为FortiGate系列防火墙及其他安全设备设计,提供全面的威胁防护、网络访问控制、应用层过滤和高级安全功能。FortiProxy是高性能安全Web网关产品,结合Web过滤、DNS过滤、数据泄露防护、反病毒、入侵防御和高级威胁保护等检测技术,可有效保护用户免受网络攻击,还能减少带宽需求、优化网络。FortiSwitchManager是用于管理FortiSwitch设备的软件,能助力企业对网络交换机进行高效配置、管理和监控,保障网络稳定运行。
据描述,在FortiOS、FortiProxy和FortiSwitchManager中,当配置了ASCII认证模式的远程TACACS+服务器时,未经身份验证的远程攻击者可利用有效管理员账号名(无需密码)来绕过认证流程,从而直接获取设备管理员权限等。
PS: 此漏洞仅限于使用ASCII身份验证的配置(非默认配置)。PAP、MSCHAP和CHAP配置不受影响。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
未公开 |
|
PoC |
未公开 |
|
在野利用 |
未发现 |
风险等级
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
9.8 |
FortiSwitchManager 7.2.5
7.6.0 <= FortiProxy <= 7.6.1
7.4.4 <= FortiOS <= 7.4.6
FortiOS 7.6.0
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://docs.fortinet.com/upgrade-tool
2. 临时缓解方案:
-
修改TACACS+的认证模式,或禁用ASCII认证模式,恢复系统默认模式:
-
或者
五
Apache Commons BeanUtils
远程代码执行漏洞
漏洞概述
腾讯云安全近期监测到Apache官方发布了关于Commons BeanUtils的风险公告,漏洞编号为TVD-2025-17316 (CVE编号:CVE-2025-48734,CNNVD编号:CNNVD-202505-3838),成功利用此漏洞的攻击者,最终可远程执行任意代码。
Apache Commons BeanUtils是一个用于简化Java Bean操作的开源Java库,它为JavaBeans提供了简洁且灵活的访问和转换机制,通过一系列实用工具方法,极大地简化了对Java对象属性的读取、设置、类型转换、深克隆及描述器处理等常见操作,让开发人员能更专注于业务逻辑。其核心是利用Java的反射机制和内省特性,提供高效易用的API,能自动映射请求参数到Java对象属性上并执行类型转换,如将字符串转换成日期或数字类型等。该库的主要功能包括属性的读取、写入、复制、比较,支持基本类型、枚举类型以及其他一些常用类型的转换,还支持自定义类型转换器以适应特定场景。
据描述,在Apache Commons BeanUtils库中,由于PropertyUtilsBean(以及相关的 BeanUtilsBean)默认未限制枚举类型declaredClass属性的访问,因此当应用程序直接使用外部输入的属性路径调用getProperty()或getNestedProperty()方法时,攻击者可利用"declaredClass"属性获取底层类加载器,进而可能实现远程任意代码的执行。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
未公开 |
|
PoC |
未公开 |
|
在野利用 |
未发现 |
风险等级
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
中 |
|
漏洞评分 |
8.8 |
影响版本
1.0 <= Apache Commons BeanUtils < 1.11.0
2.0.0-M1 <= Apache Commons BeanUtils < 2.0.0-M2
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/apache/commons-beanutils/tags
六
VMware vCenter Server
远程命令执行漏洞
漏洞概述
腾讯云安全近期监测到关于VMwarevCenter Server的风险公告,漏洞编号为 TVD-2025-16377 (CVE编号:CVE-2025-41225,CNNVD编号:CNNVD-202505-2983)。成功利用此漏洞的攻击者,最终可远程执行代码。
VMware vCenter Server是VMware公司开发的一款数据中心虚拟化管理平台的核心组件,也是整个虚拟化解决方案的管理核心,它提供了一个集中式平台来控制vSphere环境,以实现跨混合云的可见性,为虚拟化管理奠定了基础。它可以集中管理VMware vSphere环境,让管理员从一个中心位置控制、监视和配置整个虚拟环境,包括多个VMware ESXi主机和在其上运行的虚拟机,极大地提高了IT管理员对虚拟环境的控制能力。
据描述,该漏洞源于VMware vCenter Server的告警(Alarms)与脚本(Scripts)管理模块存在权限校验缺陷,已获得基础认证权限的用户通过构造恶意请求可直接向服务器注入操作系统命令,最终远程执行任意代码。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
未公开 |
|
PoC |
未公开 |
|
在野利用 |
未发现 |
风险等级
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
中 |
|
漏洞评分 |
8.8 |
影响版本
7.0 <= vCenter Server < 7.0 U3v
8.0 <= vCenter Server < 8.0 U3e
VMware Cloud Foundation (vCenter) 4.5.x < 7.0 U3v
VMware Cloud Foundation (vCenter) 5.x < 8.0 U3e
VMware Telco Cloud Platform (vCenter) 2.x,3.x,4.x,5.x < 8.0 U3e
VMware Telco Cloud Infrastructure (vCenter) 2.x < 7.0 U3v
VMware Telco Cloud Infrastructure (vCenter) 3.x < 8.0 U3e
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25717
2. 临时缓解方案:
-
如无必要,避免开放至公网
-
利用安全组设置仅对可信地址开放
七
vBulletin replaceAdTemplate
远程代码执行漏洞
漏洞概述
腾讯云安全近期监测到关于vBulletin的风险公告,漏洞编号为TVD-2025-17050 (CVE编号:CVE-2025-48827,CNNVD编号:CNNVD-202505-3723)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
vBulletin是一款基于PHP和MySQL/MariaDB开发的商业论坛软件,专为构建高性能、可定制化的在线社区而设计,是一款强大、灵活且能按需定制的论坛程序套件,在国内外中大型网站和社区中广泛应用。它具有诸多显著特点,如采用灵活的解决方案,数据库和Web服务器可分别存在于不同机器中,能运行于支持PHP和相应数据库的任意操作系统下;具备高效稳定的性能,拥有管理控制面板、版主控制面板和用户控制面板,方便不同角色进行操作管理。
据描述,该漏洞源于vBulletin存在代码缺陷,攻击者可通过构造特定API请求利用PHP反射机制绕过权限控制,未授权调用受保护的控制器方法replaceAdTemplate并向其参数注入含恶意PHP代码的<vb:if>条件标签,借助模板引擎的解析机制远程执行任意代码。
P.S. 该漏洞只影响PHP >= 8.1环境下的vBulletin组件。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
已发现 |
风险等级
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
10 |
影响版本
5.0.0 <=vBulletin <= 5.7.5
6.0.0 <= vBulletin <= 6.0.3
修复建议
官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://forum.vbulletin.com/forum/vbulletin-announcements/vbulletin-announcements_aa/4491049-security-patch-released-for-vbulletin-6-x-and-5-7-5
八
kkfileview fileUpload
文件上传漏洞
漏洞概述
腾讯云安全近期监测到关于kkfileview的风险公告,漏洞编号为TVD-2025-15174 (CVE编号:CVE-2025-4538,CNNVD编号:CNNVD-202505-1546)。成功利用此漏洞的攻击者,最终可上传任意文件,最终远程执行任意代码。
kkFileView是一款基于Spring Boot的开源文件在线预览解决方案,可直接在浏览器中预览多种格式文件而无需下载或安装本地软件。该工具支持主流办公文档、纯文本、图片、多媒体、压缩包以及CAD和3D模型等专业文件格式的在线浏览,具有部署简便、扩展性强等特点:采用Spring Boot框架实现快速搭建,提供RESTful接口支持多语言调用;内置zip/tar.gz发行包和Docker镜像,支持一键启动和容器化部署;通过抽象预览服务接口,开发者可轻松扩展新的文件类型支持,同时丰富的配置选项能满足各类定制化需求。
该漏洞源于kkFileView组件中CompressFileReader类的unRar方法存在缺陷,该方法在处理压缩文件时,未能对解压出的文件内容进行安全校验。结合预览功能自动触发解压的特性,攻击者可构造包含恶意脚本的压缩文件并上传,最终远程执行任意代码。
漏洞状态
|
类别 |
状态 |
|
安全补丁 |
已公开 |
|
漏洞细节 |
已公开 |
|
PoC |
已公开 |
|
在野利用 |
未发现 |
风险等级
|
评定方式 |
等级 |
|
威胁等级 |
高危 |
|
影响面 |
高 |
|
攻击者价值 |
高 |
|
利用难度 |
低 |
|
漏洞评分 |
8.5 |
影响版本
kkFileView <= 4.4.0
修复建议
1. 官方暂未发布漏洞补丁及修复版本,请持续关注官方公告,待修复版本发布评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://kkview.cn/zh-cn/index.html
2. 临时缓解方案:
-
如无必要,避免开放至公网
-
利用安全组设置仅对可信地址开放
✦
•
✦
原文始发于微信公众号(腾讯安全):2025年5月企业必修安全漏洞清单
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论