本文详细梳理了2025年1月CNVD和CISA收录的漏洞情况。国内CNVD共收录481个漏洞，其中高危漏洞占比近一半，补丁信息涉及Adobe、微软、华为、IBM、Oracle等厂商。美国CISA新增14个漏洞至KEV目录，并对部分漏洞提出了修复时限要求。文章重点分析了Aviatrix、SAP、Oracle WebLogic、Windows、go-git、Fortinet、Ivanti等多个高危漏洞，包括命令注入、认证绕过、远程代码执行等，并提供了漏洞编号、CVSS评分、影响范围及修复建议，旨在帮助企业及时应对安全风险。

💥 国内CNVD收录情况：1月共收录481个漏洞，高危漏洞占比47.2%，接近一半。同时，新增285个公开漏洞，高危漏洞占比46.7%。

💡 补丁信息概览：1月新收录495个补丁信息，涉及Adobe、微软、华为、IBM、Oracle等厂商。其中，Oracle相关漏洞补丁全部为MySQL Server相关。

🚨 CISA漏洞预警：美国CISA新增14个漏洞至KEV目录，部分漏洞要求限期1周内修复。重点关注Aviatrix控制器操作系统命令注入漏洞、SAP NetWeaver漏洞、Oracle WebLogic服务器漏洞等。

💻 重点漏洞分析：文章详细分析了Aviatrix、SAP、Oracle WebLogic、Windows、go-git、Fortinet、Ivanti等多个高危漏洞，包括漏洞编号、CVSS评分、影响范围及修复建议，并提供了修复补丁信息。

🛡️ 修复建议：针对不同漏洞，文章给出了相应的修复建议，如更新补丁、实施强访问控制、监控认证尝试等，以帮助企业降低安全风险。

原创 安全419 2025-02-11 18:08 四川

1月新收录漏洞481个，包含2025年首个满分漏洞。

本文根据CNVD和CISA官网和互联网公开数据整理，时间范围为2025年1月。

国内CNVD

1、一月新收录漏洞481个，其中高危漏洞227个，占比47.2%，接近一半；

2、一月新公开且被收录的漏洞285个，其中高危漏洞133个，占比46.7%；

3、一月新收录补丁信息495个，其中Adobe相关产品漏洞补丁84个，微软相关产品漏洞补丁37个，华为相关产品漏洞补丁37个，其中34个为HarmonyOS相关漏洞补丁，IBM相关产品漏洞补丁33个，Oracle相关产品漏洞补丁32个，全部为 MySQL Server相关（包括CNVD-2025-02305至02326，02431至02440），WAVLINK AC3000相关漏洞补丁28个，Linux kernel相关漏洞补丁26个。

美国CISA

1、一月新添加14个漏洞到KEV目录，其中CVE-2024-55591和CVE-2025-0282两个漏洞被要求限期1周内修复，其余漏洞均要求限期3周内修复。

部分高危漏洞

Aviatrix 控制器操作系统命令注入漏洞

漏洞编号CVE-2024-50603，CVSS评分10，未认证的攻击者可借此执行任意代码，漏洞产生的原因是用户提供的输入未被正确处理，影响了Aviatrix Controller 7.1.4191之前的所有版本以及7.2.x系列中7.2.4996之前的版本，目前已发布修复补丁，应尽快更新。

 SAP NetWeaver Application Server for ABAP和ABAP Platform 漏洞

漏洞编号CVE-2025-0070 和 CVE-2025-0066，CVSS评分9.9，两个漏洞攻击复杂度低且无需用户交互，其中CVE-2025-0070 存在认证不当漏洞，可致权限提升；CVE-2025-0066 源于弱访问控制，可能泄露受限信息。目前SAP尚未发布补丁，建议用户实施强访问控制、监控认证尝试等缓解措施。

Oracle WebLogic 服务器漏洞   

漏洞编号CVE-2020-2883 ，CVSS评分9.8，该漏洞允许未经认证且通过网络访问(通过IIOP或T3协议)的攻击者在服务帐户的上下文中执行代码，从而危及/接管易受攻击的Oracle WebLogic Server。该漏洞是对CVE-2020-2555补丁的绕过，虽然已于2020年4月修复，但CISA确认该漏洞存在在野利用，因为将其添加到KEV目录，并要求相关部门在3周内修复。

Windows OLE 远程代码执行漏洞

漏洞编号CVE-2025-21298，CVSS评分9.8，允许攻击者通过特制的电子邮件在 Windows 设备上执行 RCE，从而构成重大的电子邮件安全风险，目前微软已于1月17日发布修复补丁。

Windows NTLM V1 权限提升漏洞

漏洞编号CVE-2025-21311，CVSS评分9.8，攻击者可通过向目标系统发送特制的网络请求，绕过身份验证机制，进而将权限提升至系统级别，目前微软已于1月17日发布修复补丁。

Windows RMCAST远程代码执行漏洞

漏洞编号CVE-2025-21307，CVSS评分9.8，攻击者可通过向目标系统的PGM端口发送特制数据包，触发漏洞，实现远程代码执行，目前微软已于1月17日发布修复补丁。

Windows LDAP 高危漏洞

漏洞编号CVE-2024-49112，CVSS评分9.8，漏洞源于LDAP代码整数溢出，攻击者能发送特制RPC调用，以此利用该漏洞，致使服务器崩溃或执行代码，漏洞已于2024年12月10日修复，安全研究人员于1月发布了针对该漏洞的PoC，企业应立即采取行动，可借助 PoC 工具检测自身防御能力，并及时更新补丁。

go-git 参数注入漏洞

漏洞编号CVE-2025-21613，CVSS评分9.8，攻击者可利用该漏洞修改git-upload-pack命令的标志，源于go-git库在使用文件传输协议时，未能正确处理或验证通过URL字段传入的输入，影响go-git 4.0.0至5.13.0之间的多个版本，目前已发布修复补丁。

Fortinet FortiOS 和 FortiProxy 认证绕过漏洞

漏洞编号CVE-2024-55591，CVSS评分9.6，未认证的远程攻击者可通过向 Node.js WebSocket 模块发送精心构造的请求获得超级管理员权限，影响FortiOS（7.0.0至7.0.16版本）和FortiProxy（7.0.0至7.0.19及7.2.0至7.2.12版本），并且有报告指出此漏洞正在被野外利用。

Ivanti Connect Secure、Policy Secure 和 ZTA 网关基于栈的缓冲区溢出漏洞

漏洞编号CVE-2025-0282，CVSS评分9，该漏洞允许未经验证的远程代码执行，影响了22.7R2.5之前的Ivanti Connect Secure版本,目前已发布修复补丁，受影响用户可升级到最新的22.7R2.5。

END

✦

推荐阅读

✦

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送

阅读原文

跳转微信打开