报告对2025年第一季度的漏洞数据进行多维度梳理,涵盖漏洞分布概况、重点漏洞回顾以及AI领域的安全资讯,旨在帮助用户识别风险、保护资产。
1. 漏洞分布概况:2025年Q1共披露漏洞2861个,1月最多(1151个),随后逐月递减。高危漏洞数量较多,1月557个、2月393个、3月345个 。漏洞产生原因中设计错误占比最大(64.4%),是由于系统设计阶段未充分考虑安全性。漏洞引发的威胁里,未授权的信息泄露占比最高(48%),多因用户密码设置简单、软件未及时更新或系统默认设置不当 。
2. 漏洞回顾
重点高危漏洞:本季度安恒CERT对16个漏洞发布预警,其中12个为严重等级。如Ivanti多产品缓冲区溢出漏洞(CVE - 2025 - 0282)可被远程攻击者利用执行任意代码且已在野利用;FortiOS和FortiProxy身份验证绕过漏洞(CVE - 2024 - 55591)能让远程攻击者获取超级管理员权限 。
微软漏洞:微软多个产品存在高危漏洞,如『Windows』 OLE远程代码执行漏洞(CVE - 2025 - 21298),攻击者可通过特制邮件在受害者机器上执行代码;『Windows』 Reliable Multicast Transport Driver远程代码执行漏洞(CVE - 2025 - 21307),在特定条件下可被利用实现远程代码执行 。
微软在野漏洞:微软披露了多个在野利用漏洞,涉及『Windows』 Hyper - V、Storage、NTFS等多个组件,可导致特权提升、远程代码执行和信息泄露等严重后果,危害极大 。
3. AI资讯
OWASP LLM安全威胁Top 10更新:OWASP发布的相关报告更新了LLM实际应用中的关键风险,扩展了“拒绝服务”描述,新增“向量与嵌入”和“系统提示泄漏”模块,强调“过度代理权限”危害 。
安全威胁解读:涵盖提示词注入、敏感信息泄露、供应链风险等十大风险。提示词注入会改变模型行为;敏感信息泄露涉及个人和商业机密等;供应链风险影响训练数据和模型完整性;数据与模型投毒损害模型安全和性能等 。
AI相关漏洞:Meta的meta - llama/llama - stack、PandasAI、Ollama、vLLM、ChatGPT等均存在漏洞,可导致远程代码执行、未授权访问和『服务器』端请求伪造等问题 。
4. 安恒信息的安全解决方案:MMM漏洞情报监测平台整合多源漏洞数据,利用AVPT技术预测攻击向量,为用户提供漏洞预警、风险评估和修复建议 。此外,安恒信息还提供安全开发一体化平台、软件成分分析平台以及安全数据订阅服务,助力企业提升安全防护能力,实现从被动防御到主动防御的转变 。
免责声明:我们尊重知识产权、数据隐私,只做内容的收集、整理及分享,报告内容来源于网络,报告版权©️归原撰写发布机构所有,通过公开合法渠道获得,如涉及侵权,请及时联系我们删除,如对报告内容存疑,请与撰写、发布机构联系
