2025年11月企业必修安全漏洞清单
所谓必修漏洞,就是运维人员必须修复、不可拖延、影响范围较广的漏洞,被黑客利用并发生入侵事件后,会造成十分严重的后果。
腾讯云安全参考“安全漏洞的危害及影响力、漏洞技术细节披露情况、该漏洞在安全技术社区的讨论热度”等因素,综合评估该漏洞在攻防实战场景的风险。当漏洞综合评估为风险严重、影响面较广、技术细节已披露,且被安全社区高度关注时,就将该漏洞列入必修安全漏洞候选清单。
腾讯云安全定期发布安全漏洞必修清单,以此指引企业安全运维人员修复漏洞,从而避免重大损失。 以下是2025年11月份必修安全漏洞清单:
一、React Native CLI 命令注入漏洞(CVE-2025-11953)
二、Anyscale Ray 远程代码执行漏洞(CVE-2025-34351)
三、 Fugue Pickle 反序列化远程代码执行漏洞(CVE-2025-62703)
四、 GeoServer XML 外部实体注入漏洞(CVE-2025-58360)
五、 Grafana Enterprise SCIM 权限提升漏洞(CVE-2025-41115)
六、 Fortinet Fortiweb 命令注入漏洞(CVE-2025-58034)
七、Google Chrome V8 类型混淆漏洞(CVE-2025-13223)
八、Fortinet FortiWeb 路径遍历漏洞(CVE-2025-64446)
九、 Open WebUI 远程代码执行漏洞(CVE-2025-64496)
漏洞介绍及修复建议详见后文 一、 React Native CLI 命令注入漏洞
图片
漏洞概述 腾讯云安全近期监测到关于React Native Community CLI的风险公告,漏洞编号: TVD-2025-36321(CVE编号:CVE-2025-11953,CNNVD编号:CNNVD-202511-058)。成功利用此漏洞的攻击者,最终可远程执行任意代码。 React Native Community CLI是React Native框架的核心命令行工具,用于创建、构建和管理React Native移动应用项目。该工具集成了Metro开发服务器,为开发者提供实时代码更新、调试和打包功能。Metro服务器是React Native开发环境的关键组件,负责处理JavaScript代码的打包和热重载,使开发者能够快速迭代和测试移动应用。该CLI工具广泛应用于iOS和Android平台的跨平台移动应用开发,是React Native生态系统中不可或缺的开发基础设施。 据描述,在 React Native CLI 开启的 Metro 开发服务器中,由于其默认绑定到外部网络接口,且暴露的 /open-url 服务端点存在输入验证缺陷,导致未经身份验证的远程攻击者可通过向该服务器发送特制的请求注入并执行任意操作系统命令,在Windows系统上攻击者还可以获得对shell命令参数的额外控制权,进一步扩大攻击面。
图片
漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现
图片
风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.8
图片
影响版本 4.8.0 <= React Native CLI< 20.0.0
图片
修复建议 1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。 【备注】:建议您在升级前做好数据备份工作,避免出现意外。 https://github.com/react-native-community/cli/releases 2. 临时缓解方案: - 参考以下配置将开发服务器显式绑定到本地主机接口: npx react-native start --host 127.0.0.1 npx react-native-community/cli start --host 127.0.0.1
二、 Anyscale Ray 远程代码执行漏洞
图片
漏洞概述
腾讯云安全近期监测到关于Anyscale Ray的风险公告,漏洞编号:TVD-2025-39025(CVE编号:CVE-2025-34351,CNNVD编号:CNNVD-202511-2970)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Anyscale Ray是一个开源的分布式计算框架,专为人工智能和机器学习工作负载设计。该框架提供了统一的API来构建和运行分布式应用程序,支持大规模并行计算、分布式训练和强化学习等场景。Ray框架包含多个核心组件,其中管理界面(Dashboard)和作业API(Jobs API)用于监控集群状态、提交和管理计算任务。Ray被广泛应用于AI模型训练、超参数调优、数据处理等领域,是现代机器学习基础设施的重要组成部分,被众多科技公司和研究机构采用。
据描述,该漏洞源于Anyscale Ray 的默认配置存在安全隐患,除非显式启用(通过设置 RAY_AUTH_MODE=token),否则Ray管理接口的基于令牌的身份验证功能将被禁用。在默认的未认证状态下,远程攻击者可以通过网络访问这些接口,从而提交作业并在 Ray 集群上执行任意代码。
图片
漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现
图片
风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.3
图片
影响版本
Anyscale Ray <= 2.52.0
图片
修复建议
1.官方暂未发布漏洞补丁及修复版本,请持续关注官方公告,待修复版本发布评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/ray-project/ray
2. 临时缓解方案:
- 请按照以下指南在 Ray 中启用身份验证机制:https://docs.ray.io/en/latest/ray-security/token-auth.html
三、 Fugue Pickle 反序列化远程代码执行漏洞
图片
漏洞概述
腾讯云安全近期监测到关于Fugue的风险公告,漏洞编号:TVD-2025-39016(CVE编号:CVE-2025-62703,CNNVD编号:CNNVD-202511-2699)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Fugue是一个开源的分布式计算框架,旨在简化大规模数据处理和分析工作流程。该框架提供了统一的编程接口,支持在多种执行引擎(如Spark、Dask等)上运行相同的代码,使开发者能够轻松地在本地和分布式环境之间切换。Fugue的RPC(远程过程调用)服务器组件负责处理分布式节点之间的通信和数据传输,是框架实现分布式计算能力的核心基础设施。该框架被广泛应用于数据科学、机器学习和大数据分析领域,为企业提供灵活高效的数据处理解决方案。
据描述,该漏洞源于Fugue存在不安全的pickle反序列化缺陷,在fugue/rpc/flask.py文件中的_decode()函数没有对数据进行验证检查,直接使用cloudpickle.loads()方法对接收到的数据进行反序列化。攻击者可以向RPC服务器发送特制请求触发任意代码执行,从而完全控制服务器,并可能在分布式环境中实现横向移动。
图片
漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现
图片
风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分8.8
图片
影响版本
Fugue <= 0.9.2
图片
修复建议
1.官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。 【备注】:建议您在升级前做好数据备份工作,避免出现意外。 https://github.com/fugue-project/fugue/releases 2.临时缓解方案: -如无必要,避免开放至公网 - 利用安全组设置仅对可信地址开放
四、 GeoServer XML 外部实体注入漏洞
图片
漏洞概述
腾讯云安全近期监测到关于GeoServer的风险公告,漏洞编号:TVD-2025-38902(CVE编号:CVE-2025-58360,CNNVD编号:CNNVD-202511-2702)。成功利用此漏洞的攻击者,最终可读取服务器敏感文件或探测内部网络。
GeoServer是一个开源的地理空间数据服务器,遵循开放地理空间联盟(OGC)标准,用于发布、共享和处理地理空间数据。该软件支持多种地理数据格式,包括Shapefile、GeoTIFF、PostGIS等,并提供WMS(Web地图服务)、WFS(Web要素服务)、WCS(Web覆盖服务)等标准化接口。GeoServer被广泛应用于政府、科研机构和企业的地理信息系统(GIS)中,用于构建地图服务、空间数据分析和可视化平台。其WMS模块是核心功能之一,负责根据客户端请求生成和返回地图图像。
据描述,该漏洞源于GeoServer的WMS模块在处理GetMap操作时,XML解析器未能正确禁用DTD和外部实体引用,攻击者可以向/geoserver/wms端点发送包含恶意外部实体的XML请求,利用该漏洞读取服务器上的敏感文件,或通过SSRF探测内部网络和云元数据服务。
图片
漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用已发现
图片
风险等级 评定方式等级威胁等级高危影响面高攻击者价值高利用难度低漏洞评分9.8
图片
影响版本
GeoServer < 2.25.6
2.26.0 <= GeoServer < 2.26.2
图片
修复建议
1.官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。 【备注】:建议您在升级前做好数据备份工作,避免出现意外。 https://github.com/geoserver/geoserver/releases 2. 临时缓解方案: - 限制对/geoserver/wms端点的访问,仅允许受信任的IP地址访问 - 配置防火墙或网络规则,仅允许特定IP地址或IP段访问GeoServer服务
五、 Grafana Enterprise SCIM 权限提升漏洞
图片
漏洞概述
腾讯云安全近期监测到关于Grafana的风险公告,漏洞编号:TVD-2025-38607(CVE编号:CVE-2025-41115,CNNVD编号:CNNVD-202511-2460)。成功利用此漏洞的攻击者,最终可实现身份冒充或权限提升,获取管理员权限。
Grafana是一个开源的数据可视化和监控平台,广泛应用于企业级IT基础设施监控、应用性能管理和业务数据分析。该平台支持多种数据源(如Prometheus、InfluxDB、Elasticsearch等),提供强大的仪表板创建和数据查询功能。Grafana Enterprise是其商业版本,提供了额外的企业级功能,包括SCIM(跨域身份管理系统)支持。SCIM是一个开放标准协议,用于自动化用户身份的创建、更新和删除,使企业能够在多个系统之间同步用户身份信息。Grafana的SCIM组件允许组织通过身份提供商(如Okta、Azure AD)自动管理Grafana用户账户,简化用户生命周期管理流程。
据官方描述,在 Grafana Enterprise 的 SCIM 用户配置功能中,由于系统将 SCIM 协议中的 externalId 字段直接映射到内部用户 ID(user.uid)而未进行类型安全校验,导致恶意的 SCIM 客户端可通过提交数字形式的 externalId(如"1")覆盖系统内置管理员账户身份,从而实现用户冒充和权限提升,并获得 Grafana 实例的最高控制权。该漏洞仅在同时启用enableSCIM功能标志和user_sync_enabled配置选项时才会被触发。
图片
漏洞状态 类别状态安全补丁已公开漏洞细节已公开PoC已公开在野利用未发现
图片
风险等级
类别 | 等级 |
|---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 10 |
图片
影响版本
12.0.0 <= Grafana Enterprise < 12.0.6
12.1.0 <= Grafana Enterprise < 12.1.3
12.2.0 <= Grafana Enterprise < 12.2.1
图片
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】建议您在升级前做好数据备份工作,避免出现意外。
https://grafana.com/blog/2025/11/19/grafana-enterprise-security-update-critical-severity-security-fix-for-cve-2025-41115/
2. 临时缓解方案:
- 如非必需,禁用SCIM配置功能(将enableSCIM和user_sync_enabled设置为false)
六、 Fortinet Fortiweb 命令注入漏洞
图片
漏洞概述
腾讯云安全近期监测到关于Fortinet FortiWeb的风险公告,漏洞编号:TVD-2025-38261(CVE编号:CVE-2025-58034,CNNVD编号:CNNVD-202511-2017)。成功利用此漏洞的攻击者,最终可远程执行任意命令。
FortiWeb是Fortinet公司推出的企业级Web应用防火墙(WAF)产品,专门用于保护Web应用程序和API免受各种网络攻击。该产品提供了全面的安全防护功能,包括SQL注入防护、跨站脚本(XSS)防护、DDoS防护、机器人检测和API安全等。FortiWeb支持多种部署模式,包括反向代理、透明代理和离线检测模式,可灵活集成到现有网络架构中。作为企业安全基础设施的关键组件,FortiWeb被广泛部署在金融、电商、政府和医疗等行业,用于保护关键业务应用和敏感数据免受Web层攻击。
据描述,该漏洞源于FortiWeb在处理特殊字符时未能正确过滤和验证输入,已通过身份验证的攻击者可以通过发送精心构造的HTTP请求或CLI命令,将恶意命令注入到系统调用中,从而在FortiWeb设备上执行任意操作系统命令,该漏洞可结合 Fortinet FortiWeb 路径遍历漏洞(CVE-2025-64446)漏洞实现未经身份验证的命令执行。
图片
漏洞状态
类别 | 状态 |
|---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
图片
风险等级
评定方式 | 等级 |
|---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 7.2 |
图片
影响版本
7.0.0 <= FortiWeb < 7.0.12
7.2.0 <= FortiWeb < 7.2.12
7.4.0 <= FortiWeb < 7.4.11
7.6.0 <= FortiWeb < 7.6.6
8.0.0 <= FortiWeb < 8.0.2
图片
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】建议您在升级前做好数据备份工作,避免出现意外。
https://fortiguard.fortinet.com/psirt/FG-IR-25-513
2. 临时缓解方案:
- 限制对FortiWeb管理界面的访问,仅允许受信任的管理员IP地址访问
- 配置防火墙或网络规则,仅允许特定IP地址或IP段访问FortiWeb管理接口
七、 Google Chrome V8 类型混淆漏洞
图片
漏洞概述
腾讯云安全近期监测到关于Google Chrome的风险公告,漏洞编号:TVD-2025-38173(CVE编号:CVE-2025-13223,CNNVD编号:CNNVD-202511-1851)。成功利用此漏洞的攻击者,最终可远程执行任意代码。
Google Chrome是全球使用最广泛的网络浏览器之一,基于开源的Chromium项目开发。V8是Chrome浏览器的核心JavaScript引擎,负责解析和执行网页中的JavaScript代码,为现代Web应用提供高性能的运行环境。V8引擎采用即时编译(JIT)技术,将JavaScript代码转换为机器码以提升执行效率。该引擎不仅应用于Chrome浏览器,还被广泛集成到Node.js、Microsoft Edge等多个平台和产品中,是现代Web技术栈的关键基础设施组件。
据描述,该漏洞源于Chrome V8 JavaScript引擎在处理JavaScript对象类型时存在类型混淆缺陷。当V8引擎错误地处理对象类型时会导致内存损坏和堆破坏,远程攻击者可通过诱导用户打开精心构造的 HTML 页面触发类型混淆,进而实现远程代码执行。
图片
漏洞状态
类别 | 状态 |
|---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
图片
风险等级
评定方式 | 等级 |
|---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 8.6 |
图片
影响版本
Google Chrome(Windows) < 142.0.7444.175/176
Google Chrome(Linux) < 142.0.7444.175
Google Chrome(Mac) < 142.0.7444.176
图片
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】建议您在升级前做好数据备份工作,避免出现意外。
https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html
八、 Fortinet FortiWeb 路径遍历漏洞
图片
漏洞概述
腾讯云安全近期监测到关于Fortinet FortiWeb的风险公告,漏洞编号:TVD-2025-38003(CVE编号:CVE-2025-64446,CNNVD编号:CNNVD-202511-1746)。成功利用此漏洞的攻击者,最终可创建未授权的管理员账户并完全控制设备。
据描述,该漏洞源于FortiWeb的通用网关接口组件中存在相对路径遍历缺陷,未经身份验证的远程攻击者可以通过发送精心构造的请求绕过访问控制,创建未授权的管理员账户,从而完全控制FortiWeb设备。
图片
漏洞状态
类别 | 状态 |
|---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 已发现 |
图片
风险等级
评定方式 | 等级 |
|---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 低 |
漏洞评分 | 9.8 |
图片
影响版本
7.0.0 <= FortiWeb < 7.0.12
7.2.0 <= FortiWeb < 7.2.12
7.4.0 <= FortiWeb < 7.4.10
7.6.0 <= FortiWeb < 7.6.5
8.0.0 <= FortiWeb < 8.0.2
图片
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】建议您在升级前做好数据备份工作,避免出现意外。
https://fortiguard.fortinet.com/psirt/FG-IR-25-910
2. 临时缓解方案:
- 限制对FortiWeb管理界面的访问,仅允许受信任的管理员IP地址访问
- 配置防火墙或网络规则,仅允许特定IP地址或IP段访问FortiWeb管理接口
九、 Open WebUI 远程代码执行漏洞
图片
漏洞概述
腾讯云安全近期监测到关于Open WebUI的风险公告,漏洞编号:TVD-2025-37170(CVE编号:CVE-2025-64496,CNNVD编号:CNNVD-202511-854)。成功利用此漏洞的攻击者,可窃取身份验证令牌实现账户接管,并可能在后端服务器上执行远程代码。
Open WebUI是一个基于Python开发的开源Web用户界面框架,专为大型语言模型(LLM)和AI应用设计。该框架提供了直观的聊天界面和模型管理功能,支持用户与多种AI模型进行交互。Open WebUI的直接连接(Direct Connections)功能允许用户添加外部模型服务器的URL,直接与第三方AI模型建立连接,而无需通过中间代理。该功能使用服务器发送事件(Server-Sent Events,SSE)协议实现实时通信,使浏览器能够接收来自服务器的持续数据流。Open WebUI被广泛应用于AI研究、开发和生产环境中,为用户提供灵活的模型访问和管理能力。
据描述,该漏洞源于Open WebUI的直接连接功能中存在代码注入缺陷,当用户启用直接连接功能并添加恶意外部模型服务器URL时,攻击者可以通过服务器发送事件(SSE)的execute事件发送恶意JavaScript代码,在受害者浏览器中执行任意命令,窃取认证令牌并完全接管账户;若结合 Functions API 漏洞可进一步实现后端服务器远程代码执行。
图片
漏洞状态
类别 | 状态 |
|---|---|
安全补丁 | 已公开 |
漏洞细节 | 已公开 |
PoC | 已公开 |
在野利用 | 未发现 |
图片
风险等级
评定方式 | 等级 |
|---|---|
威胁等级 | 高危 |
影响面 | 高 |
攻击者价值 | 高 |
利用难度 | 中 |
漏洞评分 | 8 |
图片
影响版本
Open WebUI < 0.6.35
图片
修复建议
1.官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,酌情升级至安全版本。
【备注】:建议您在升级前做好数据备份工作,避免出现意外。
https://github.com/open-webui/open-webui/releases
2.临时缓解方案:
- 如非必需,禁用直接连接(Direct Connections)功能
- 严格验证外部模型URL,仅添加来自可信来源的模型服务器
*以上漏洞评分为腾讯云安全研究人员根据漏洞情况作出,仅供参考,具体漏洞细节请以原厂商或是相关漏洞平台公示为准。
图片
END
更多精彩内容点击下方扫码关注哦~
关注云鼎实验室,获取更多安全情报
图片
本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-12-11,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号