聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
CISA目前已收录总计1484个已遭在野利用的软硬件漏洞。在2025年期间,CISA 将245个漏洞纳入 KEV 清单,其中24个漏洞被用于勒索攻击中。
自2021年11月公开发布起,CISA KEV 清单上的漏洞数量呈稳步增长态势,2025年是其在3年间扩展最快的一年,增长率达到20%。网络安全公司 Cyble 解释称,“自该数据库首次发布后的最初新增漏洞激增后,该清单在2023年和2024年的增长保持稳定状态,总计分别收录187和185个漏洞。”
2025年新增的多数漏洞虽然是新漏洞,但CISA并未忽视更老旧的漏洞。去年,CISA 将2024年和以前年份披露的94个漏洞纳入清单中。2025年纳入的最老旧漏洞是位于微软 Office 中的远程代码执行漏洞CVE-2007-0671。
正如 Cyble 公司提到的,“清单中最老旧的漏洞仍然是2002年的漏洞CVE-2002-0367,它是位于 Windows NT 和 Windows 2000 smss.exe 调试子系统中的一个提权漏洞,已被用于勒索攻击中。”
在遭勒索攻击利用的24个漏洞中,因利用范围广泛,CitrixBleed2(CVE-2025-5777)和Oracle E-Business(CVE-2025-61882和CVE-2025-61884)脱颖而出。Fortinet、Ivanti、微软、Mitel、SAP和SonicWall 产品中的新漏洞也遭勒索攻击利用。
分析发现,在2025年的新增漏洞中,OS命令注入、不受信任数据的反序列化、路径遍历、释放后使用、越界写、XSS、代码注入和身份验证不当是最常见的漏洞类型。美国联邦政府机构、规模各异的组织机构以及软件开发人员都应当监控KEV清单,更好地保护自身环境的安全,并更好地了解威胁人员最常利用的漏洞。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
CISA 将已遭利用的 Digiever NVR RCE漏洞纳入KEV
React2Shell:30家机构已受陷77k IP地址易受影响,被列入 CISA KEV
速修复!思科ASA 两个0day漏洞已遭利用,列入 CISA KEV 清单
CISA 将TP-Link 路由器高危漏洞纳入KEV
CISA将Erlang SSH 和 Roundcube 加入KEV清单
原文链接
https://www.securityweek.com/cisa-kev-catalog-expanded-20-in-2025-topping-1480-entries/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
