2025年10月企业必修安全漏洞清单

云鼎实验室

发布于 2026-04-09 12:15:14

1240

所谓必修漏洞，就是运维人员必须修复、不可拖延、影响范围较广的漏洞，被黑客利用并发生入侵事件后，会造成十分严重的后果。腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素，综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露，且被安全社区高度关注时，就将该漏洞列入必修安全漏洞候选清单。腾讯云安全定期发布安全漏洞必修清单，以此指引企业安全运维人员修复漏洞，从而避免重大损失。以下是2025年10月份必修安全漏洞清单：一、Redis远程代码执行漏洞 (CVE-2025-49844) 二、Oracle E-Business Suite 远程代码执行漏洞 (CVE-2025-61882) 三、Oracle E-Business Suite 未授权访问漏洞（CVE-2025-61884）四、 FlowiseAI Flowise 任意文件写入远程命令执行漏洞（CVE-2025-61913）五、 Windows Server Update Service 远程代码执行漏洞（CVE-2025-59287）六、 Apache Tomcat 远程代码执行漏洞（CVE-2025-55752）七、 Cherry studio命令注入漏洞（CVE-2025-61929）八、JumpServer 权限管理错误漏洞（CVE-2025-62712）漏洞介绍及修复建议详见后文一、 Redis远程代码执行漏洞

漏洞概述 腾讯云安全近期监测到关于Redis的风险公告，漏洞编号：TVD-2025-32375(CVE编号：CVE-2025-49844，CNNVD编号：CNNVD-202510-401)。成功利用此漏洞的攻击者，最终可实现远程代码执行。 Redis是一个开源的内存数据结构存储系统，它可以用作数据库、缓存和消息中间件。Redis支持多种数据结构，如字符串、哈希表、列表、集合等，并提供丰富的API操作这些数据结构。它采用单线程模型处理请求，通过异步I/O和多路复用技术实现高性能。Redis还支持持久化、事务、Lua脚本执行等高级功能，广泛应用于Web应用、实时分析、消息队列等场景。Lua脚本功能允许用户在Redis服务器端执行自定义逻辑，提高了操作的原子性和性能。据描述，该漏洞源于Redis Lua脚本执行环境中存在释放后重用漏洞，具有已认证的用户权限的攻击者可以通过特制的Lua脚本操作垃圾回收器，触发内存管理缺陷，最终可能实现远程代码执行。

漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现

风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.9

影响版本 Redis <6.2.20 7.0.0 <= Redis < 7.2.11 7.4.0 <= Redis < 7.4.6 8.0.0 <= Redis < 8.0.4 8.2.0 <= Redis < 8.2.2

修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。【备注】建议您在升级前做好数据备份工作，避免出现意外。 https://github.com/redis/redis/releases/tag/ 2. 临时缓解方案： - 通过ACL（访问控制列表）限制EVAL和EVALSHA命令的执行权限，禁止用户运行Lua脚本； - 限制对Redis实例的访问权限，仅允许受信任的用户和应用访问。 二、 Oracle E-Business Suite 远程代码执行漏洞

漏洞概述 腾讯云安全近期监测到关于Oracle E-Business Suite的风险公告，漏洞编号：TVD-2025-32376(CVE编号：CVE-2025-61882，CNNVD编号：CNNVD-202510-745)。成功利用此漏洞的攻击者，最终远程执行任意代码。 Oracle E-Business Suite是Oracle公司开发的一套全面的企业资源规划(ERP)应用程序套件，旨在帮助企业管理和自动化各种业务流程。该套件包括财务管理、供应链管理、人力资源管理、项目管理等多个模块，为企业提供集成的业务解决方案。Oracle Concurrent Processing是E-Business Suite的一个关键组件，负责管理和执行并发请求，如报表生成、批处理任务等，确保系统资源的有效利用和任务的及时完成。据描述，该漏洞源于Oracle Concurrent Processing的BI Publisher集成组件中存在认证绕过缺陷，攻击者可以通过特制的HTTP请求绕过安全机制，获取对Oracle Concurrent Processing的完全控制权限，最终远程执行任意代码。

漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用已发现

风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.8

影响版本 12.2.3 <= Oracle E-Business Suite <= 12.2.14

修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。【备注】建议您在升级前做好数据备份工作，避免出现意外。 https://www.oracle.com/security-alerts/alert-cve-2025-61882.html 2. 临时缓解方案： - 限制对Oracle E-Business Suite的网络访问，仅允许必要的IP地址和用户访问。三、 Oracle E-Business Suite 未授权访问漏洞

漏洞概述 腾讯云安全近期监测到关于Oracle E-Business Suite的风险公告，漏洞编号：TVD-2025-33661(CVE编号：CVE-2025-61884，CNNVD编号：CNNVD-202510-2334)。成功利用此漏洞的攻击者，最终可未经授权访问受限页面及敏感数据。据描述，在 Oracle E-Business Suite 的 Oracle Configurator 产品中存在未授权访问漏洞，未经身份验证的远程攻击者可通过 HTTP 协议访问Oracle Configurator进行利用，从而导致对关键数据的未经授权访问或对所有Oracle Configurator可访问数据的完全访问。

漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用已发现

风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分7.5

影响版本 12.2.3 <= Oracle E-Business Suite <= 12.2.14

修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。【备注】建议您在升级前做好数据备份工作，避免出现意外。 https://www.oracle.com/security-alerts/alert-cve-2025-61884.html 2. 临时缓解方案： - 限制对Oracle E-Business Suite的网络访问，仅允许必要的IP地址和用户访问。四、 FlowiseAI Flowise 任意文件写入远程命令执行漏洞

漏洞概述 腾讯云安全近期监测到关于Flowise的风险公告，漏洞编号：TVD-2025-32379(CVE编号：CVE-2025-61913，CNNVD编号：CNNVD-202510-1108)。成功利用此漏洞的攻击者，最终可读取和写入任意文件，可能导致远程命令执行。 Flowise是一个拖放式用户界面工具，用于构建定制的大型语言模型(LLM)工作流。它提供了一个可视化的开发环境，使用户能够轻松创建、设计和部署复杂的AI应用程序，而无需编写大量代码。Flowise支持多种LLM提供商和API集成，提供丰富的预构建组件和模板，使用户能够快速构建从简单的聊天机器人到复杂的业务自动化流程等各种AI应用。该工具特别适合数据科学家、开发人员和业务分析师使用，降低AI应用开发的技术门槛。据描述，该漏洞源于Flowise中的WriteFileTool和ReadFileTool组件未限制文件路径访问，允许已认证的攻击者通过这些工具访问文件系统中的任意路径。攻击者可以利用此漏洞读取敏感文件、写入恶意文件，可能实现远程命令执行。

漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现

风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.9

影响版本 Flowise < 3.0.8

修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。【备注】建议您在升级前做好数据备份工作，避免出现意外。 https://github.com/FlowiseAI/Flowise/releases/tag/ 2. 临时缓解方案： - 限制对Flowise应用程序的网络访问，仅允许受信任的IP地址访问； - 实施严格的身份验证和授权机制，限制文件操作权限。五、 Windows Server Update Service 远程代码执行漏洞

漏洞概述 腾讯云安全近期监测到关于Windows Server Update Service的风险公告，漏洞编号：TVD-2025-34143(CVE编号：CVE-2025-59287，CNNVD编号：CNNVD-202510-1791)。成功利用此漏洞的攻击者，最终可通过网络执行任意代码，获取系统控制权限。 Windows Server Update Services(WSUS)是微软提供的服务器角色，用于管理微软产品在企业网络中的更新分发。WSUS允许管理员集中控制和分发Windows更新、驱动程序和其他微软软件的更新到网络中的计算机。它提供了一个可扩展的更新管理解决方案，使企业能够有效管理更新部署，减少安全风险，并确保所有系统保持最新状态。WSUS集成了Active Directory和组策略，允许根据计算机和组织单位进行精确的更新部署。据描述，该漏洞源于Windows Server Update Service中存在不受信任数据的反序列化缺陷，攻击者可以通过特制的序列化数据触发该漏洞，最终远程执行任意代码，获得系统的完全控制权限。

漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用已发现

风险等级 类别等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.8

影响版本 Windows Server 2012 < 6.2.9200.25728 Windows Server 2012 R2 < 6.3.9600.22826 Windows Server 2016 < 10.0.14393.8524 Windows Server 2019 < 10.0.17763.7922 Windows Server 2022 < 10.0.20348.4297 Windows Server 2022 23H2 < 10.0.25398.1916 Windows Server 2025 < 10.0.26100.6905

修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。【备注】建议您在升级前做好数据备份工作，避免出现意外。 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287 2. 临时缓解方案： - 限制对WSUS服务器的网络访问，仅允许受信任的客户端和服务器连接。六、 Apache Tomcat 远程代码执行漏洞

漏洞概述 腾讯云安全近期监测到关于Apache Tomcat的风险公告，漏洞编号：(CVE编号：CVE-2025-55752，CNNVD编号：CNNVD-202510-3510)。成功利用此漏洞的攻击者，最终可绕过安全约束访问受限制的资源，如果同时启用了PUT请求可能导致远程代码执行。 Apache Tomcat是一个开源的Web服务器和Servlet容器，由Apache软件基金会开发和维护。它实现了Java Servlet、JavaServer Pages(JSP)、Java Expression Language和Java WebSocket等技术规范，为Java Web应用程序提供运行环境。Tomcat广泛用于各种规模的企业和应用，从小型个人项目到大型企业级应用。它以其轻量级、高性能、稳定性和可扩展性而闻名，支持多种操作系统和Java版本，是Java生态系统中最流行的Web服务器之一。据描述，该漏洞源于Apache Tomcat中在修复bug 60013时引入了回归缺陷：重写URL时在解码前进行了规范化处理，导致无法识别目录遍历序列 (%2e%2e 等)，攻击者可通过操纵请求URI绕过/WEB-INF/和/META-INF/等安全约束保护。如果同时启用了PUT请求，则攻击者可上传恶意文件实现远程代码执行，从而完全控制服务器。

漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现

风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分7.5

影响版本 8.5.6 <= Apache Tomcat <= 8.5.100 (EOL版本) 9.0.0.M11 <= Apache Tomcat <= 9.0.108 10.1.0-M1 <= Apache Tomcat <= 10.1.44 11.0.0-M1 <= Apache Tomcat <= 11.0.10

修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。【备注】建议您在升级前做好数据备份工作，避免出现意外。 https://tomcat.apache.org/ 2. 临时缓解方案： - 禁用PUT请求。七、 Cherry studio命令注入漏洞

漏洞概述 腾讯云安全近期监测到关于Cherry Studio的风险公告，漏洞编号：TVD-2025-33523(CVE编号：CVE-2025-61929，CNNVD编号：CNNVD-202510-1408)。成功利用此漏洞的攻击者，最终可通过用户交互执行任意命令，获取系统控制权限。 Cherry Studio是一个桌面客户端应用程序，支持多种大型语言模型(LLM)提供商。它为用户提供了一个统一的界面，用于访问和管理不同LLM服务的API，如OpenAI、Anthropic、Google等。该应用程序允许用户通过直观的界面与各种AI模型交互，保存对话历史，管理API密钥，并配置不同的模型参数。Cherry Studio采用现代桌面应用框架开发，支持Windows、macOS和Linux等主流操作系统，为AI开发者和爱好者提供了一个便捷的工具来探索和使用LLM技术。据描述，由于 Cherry Studio自定义的 URL 协议处理器（cherrystudio://）对 MCP 安装请求缺乏安全验证，当接收到 “cherrystudio://mcp” 类型的 URL 时会调用handleMcpProtocolUrl 函数进行处理，而该函数未对用户提供的命令内容进行安全校验，远程攻击者可通过构造包含恶意命令的Base64编码值并直接拼接至URL协议处理器中，当受害者点击该恶意链接时即可触发远程任意代码的执行。

漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现

风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.8

影响版本 Cherry Studio <1.6.6

修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。【备注】建议您在升级前做好数据备份工作，避免出现意外。https://github.com/CherryHQ/cherry-studio/releases 2. 临时缓解方案： - 避免点击来自不受信任来源的"cherrystudio://"链接。八、 JumpServer 权限管理错误漏洞

漏洞概述 腾讯云安全近期监测到关于JumpServer的风险公告，漏洞编号：TVD-2025-36115(CVE编号：CVE-2025-62712，CNNVD编号：CNNVD-202510-4209)。成功利用此漏洞的攻击者，最终可未授权访问敏感系统和权限提升。 JumpServer是一个开源的堡垒主机和运维安全审计系统，专为企业和云环境设计。它提供了一个统一的入口点，用于管理和监控对各种IT资源的访问，包括服务器、数据库、网络设备和应用程序。JumpServer支持多种认证方式，集成了权限管理、会话管理、审计日志等功能，帮助企业实施最小权限原则并满足合规要求。该系统采用现代化的微服务架构，支持高可用部署，适用于各种规模的组织，特别是那些需要严格控制访问权限和确保运维安全的企业。据描述，该漏洞源于JumpServer的API接口/api/v1/authentication/super-connection-token/存在访问控制缺陷，该接口返回由所有用户创建的连接令牌而不是请求者令牌，攻击者可以通过获取的令牌对令牌所有者的受管资产发起连接，从而导致敏感系统的未经授权访问和权限提升。

漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现

风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.6

影响版本 JumpServer < 3.10.20-lts 4.0.0 <= JumpServer < 4.10.11-lts

修复建议 1. 官方已发布漏洞补丁及修复版本，请评估业务是否受影响后，酌情升级至安全版本。【备注】建议您在升级前做好数据备份工作，避免出现意外。 https://github.com/jumpserver/jumpserver/releases 2. 临时缓解方案： - 实施严格的访问控制，仅允许受信任的IP地址访问。 *以上漏洞评分为腾讯云安全研究人员根据漏洞情况作出，仅供参考，具体漏洞细节请以原厂商或是相关漏洞平台公示为准。