文章总结： 本文整合2025年十大高危漏洞，涵盖SAP、Fortinet、WinRAR及ReactNext.js等关键组件。重点揭示AI基础设施风险与零点击攻击常态化趋势，详细列出各CVE编号、核心危害及在野利用情况。建议企业及时修补高危漏洞，加强对Web应用、压缩软件及移动端的主动防御。 综合评分： 88 文章分类： 漏洞预警,漏洞分析,AI安全,WEB安全,移动安全

2025年十大网络安全漏洞（WinRAR、“核弹级”Next.js漏洞）

原创

hacking

Hacking黑白红

2025年12月31日 21:52 安徽

作为一名网络安全从业人员，年终整合了2025年内披露且具有代表性的十大网络安全漏洞。

由于没有完全一致的“十大”官方榜单，下表基于公开漏洞的严重性、影响范围和独特性筛选而来，旨在反映今年的安全态势。

2025年十大高危网络安全漏洞，覆盖AI、系统、云原生、移动、Web等核心领域，附漏洞编号、核心危害与防御要点，突出AI相关漏洞爆发与零点击利用常态化两大趋势。

1、CVE-2025-42999

来源：SAP NetWeaver（企业级软件平台）

危害：一个高危的反序列化漏洞（CVSS 9.1分）。拥有权限的攻击者可上传恶意内容，严重危及受影响系统的完整性、机密性和可用性。

爆出时间：于2025年5月被美国网络安全和基础设施安全局列入“已知被利用漏洞”目录，表明已遭实际攻击。

2、CVE-2025-32756

来源：Fortinet 多款产品（包括飞塔防火墙等）

危害：一个严重级别的堆栈缓冲区溢出漏洞（CVSS 9.8分）。未经认证的远程攻击者可发送特制HTTP请求，从而在设备上执行任意代码或命令。

爆出时间：同样于2025年5月被列为已知被利用漏洞，需立即修补。

3、CVE-2025-32463

来源：Sudo 权限管理工具（广泛用于Linux/Unix系统）

危害：Sudo组件中发现一个高危本地提权漏洞。此漏洞允许本地攻击者通过欺骗Sudo使用用户指定的根目录（通过-R或–chroot选项）加载任意共享库来提升其权限。

爆出时间：于2025年7月被披露，随后在2025年10月被确认在野外被利用。

4、CVE-2025-10164

来源：SGLang（AI大模型推理框架）

危害：一个针对AI基础设施的高危远程代码执行漏洞。攻击者可构造恶意请求，在托管大模型服务的GPU服务器上执行代码，窃取模型权重或数据。

爆出时间：2025年9月被安全研究人员公开披露。

5、CVE-2025-43300 与 CVE-2025-55177

来源：苹果ImageIO零点击RCE,苹果Image I/O 框架 与 WhatsApp

危害：这是一对组合利用的 “零点击”攻击链。攻击者可通过WhatsApp发送特制文件，触发苹果系统底层的漏洞，从而在用户无任何交互的情况下完全控制设备。

爆出时间：整个攻击链于2025年8月被公开分析。

6、CVE-2025-21042

来源：三星Quram图像解析库（影响大量Android设备）

危害：一个 “一键式”远程代码执行漏洞。用户仅需查看一张恶意图片，攻击者即可静默植入监控程序，危害极大。

爆出时间：2025年11月被安全公司公开详细分析。

7、CVE-2025-54322

来源：讯速达 (Xspeeder) 网络设备

危害：一个CVSS评分为10.0满分的严重漏洞，允许攻击者无需认证即可远程执行任意代码。值得注意的是，该漏洞最初由AI安全工具辅助发现。

爆出时间：具体月份不详，为2025年内披露。

8、CVE-2025-8088

来源：WinRAR 压缩软件

危害：一个在野外被利用的“零日漏洞”。攻击者通过制作恶意RAR文件，在受害者解压时自动执行恶意代码，从而植入后门。

爆出时间：具体月份不详，为2025年内被俄罗斯黑客组织利用。

9、CVE-2025-0282

来源：Ivanti Connect Secure VPN 等设备

危害：一个高危的缓冲区溢出漏洞（CVSS 9.0分），未经认证的远程攻击者可利用此漏洞在设备上执行任意代码。

爆出时间：具体月份不详，已在野外被利用。

10、CVE-2025-55182

来源：React / Next.js 服务器组件

危害：号称“核弹级”别，一个CVSS 10.0分的严重漏洞。攻击者可通过特定请求，在服务端触发代码执行，从而完全接管基于此框架的Web应用服务器。

爆出时间：2025年12月被披露。

*本文作者：hacking。编辑：黑白红。文章内容或图片如果存有侵权，请留言联系我们，我们会第一时间进行处理

往期相关回顾

京东集团安全部-急招，年前尽快入职

【招聘】-阿里安全AGI实验室（北京、杭州）

【招聘】-阿里集团安全部招聘安全工程师（渗透攻防）

【招聘-网络安全】蔚来汽车-AI安全工程师（50-60K）

【招聘-网络安全】杭州甲方招人（统招本科以上+工作5年以上）

【快手】安全急招——年前面试年后入职

1.7万“僵尸”账号的饱和攻击：复盘快手直播被黑产击穿的两小时

快手3年前裁掉整个安全团队？

快手员工爆今年裁员10%，游戏部门最多

【抖音】– 网络安全招聘（30-90K*15）

一文读懂-快手12·22攻击事件复盘图解

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Hacking黑白红 hacking《2025年十大网络安全漏洞（WinRAR、“核弹级”Next.js漏洞）》