摘要：三月新公开漏洞367个，其中高危漏洞176个，占比47.96%；其中应用程序漏洞193个，Web应用漏洞70个，操作系统漏洞46个，网络设备及安全产品漏洞35个，物联网、车联网、工业控制系统漏洞16个，数据库漏洞10个，电信行业漏洞21个，人工智能行业漏洞18

本文根据CNVD和CISA官网和互联网公开数据整理，时间范围为2025年3月。

国内CNVD

三月新公开漏洞367个，其中高危漏洞176个，占比47.96%；其中应用程序漏洞193个，Web应用漏洞70个，操作系统漏洞46个，网络设备及安全产品漏洞35个，物联网、车联网、工业控制系统漏洞16个，数据库漏洞10个，电信行业漏洞21个，人工智能行业漏洞18个。三月新收录补丁信息274个，Adobe相关产品漏洞补丁50个，谷歌相关产品漏洞补丁40个， IBM相关产品漏洞补丁26个， Linux 相关漏洞补丁23个，Esri ArcGIS Server漏洞补丁23个，微软相关产品漏洞补丁20个，Cisco相关漏洞补丁13个，Apache相关漏洞10个。

美国CISA

1、三月新添加32个漏洞到KEV目录，均要求限期3周（21天）内修复。

部分高危漏洞

Chrome Profiles内存错误引用代码执行漏洞

漏洞编号是CNVD-2025-05235（CVE-2025-1916）漏洞评分10，攻击者可利用该漏洞提交特殊的Web请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。目前Chrome发布了安全公告及相关补丁信息，建议尽快修复。

Apache Tomcat远程代码执行漏洞

漏洞编号是CNVD-2025-04973（CVE-2025-24813），漏洞评分10，该漏洞源于当应用程序DefaultServlet启用写入功能（默认情况下禁用）、使用 Tomcat默认会话持久机制和存储位置、依赖库存在反序列化利用链时所致，未授权攻击者可利用漏洞执行恶意代码获取服务器权限。目前厂商已发布安全更新修复漏洞，请及时下载更新至最新版本。

emlog文件上传漏洞

漏洞编号是CNVD-2025-04611（CVE-2025-25783），漏洞评分10，emlog是一套基于PHP和MySQL的CMS建站系统。该漏洞源于adminplugin.php组件对上传的文件缺少有效的验证。攻击者可利用该漏洞上传恶意文件从而远程执行任意代码。厂商已发布了漏洞修复程序，请及时下载更新。

仓库管理软件平台 VeraCore 上传验证漏洞

漏洞编号CVE-2024-57968，CVSS评分9.9，VeraCore 是 Advantive 旗下的一款基于云端的 SaaS（软件即服务）订单和仓库管理系统，它允许远程经过身份验证的用户将文件上传到非预期文件夹。漏洞影响2024.4.2.1之前所有版本，漏洞已在 VeraCode 版本 2024.4.2.1 中修复，请尽快前往官网更新。

Cisco SLU 静态凭证后门漏洞

漏洞编号CVE-2024-20439，CVSS评分9.8，该漏洞使得未经身份验证的远程攻击者能够通过一个未公开的静态凭据获取受影响系统的管理员访问权限。漏洞原因是应用程序中嵌入了硬编码的凭据，这使得攻击者能够对 CSLU API 拥有完全的管理权限，因此一旦攻击者确定了存在漏洞的系统，利用该漏洞相对来说比较容易。受影响的版本包括2.0.0、2.1.0和2.2.0，2.3.0则不受影响。Cisco已发布软件更新修复这一漏洞，目前没有可用的变通方案，建议用户尽快升级到修复版本。

微软Open Management Infrastructure (OMI) 远程代码执行漏洞

漏洞编号 CVE-2024-21334，CVSS评分9.8，攻击者可以从 Internet 访问OMI实例并发送特制请求以触发释放后使用漏洞,成功利用可能导致远程代码执行。微软在3月12日发布的3月安全更新中已经修复该漏洞，建议受影响客户更新到OMI版本1.8.1-0。

Edimax IC-7100命令注入漏洞

漏洞编号CVE-2025-1316，CVSS评分9.8，Edimax IC-7100是中国讯舟科技(Edimax Technology)公司的一款网络摄像机。该漏洞是由于设备无法正确中和请求导致。攻击者可利用该漏洞通过构造恶意请求，注入操作系统命令，从而在设备上执行任意代码。目前厂商已发布了漏洞修复程序，请及时关注更新。

Ivanti Endpoint Manager（EPM）绝对路径遍历漏洞

漏洞编号CVE-2024-13159、CVE-2024-13160、CVE-2024-13161，CVSS评分9.8，Ivanti EPM是一款基于.NET 的应用程序，用于管理企业内的终端安全和软件部署。利用这个漏洞，可以诱使EPM服务器尝试向恶意SMB服务器进行身份验证，进而捕获目标系统的 NTLM 哈希值，再利用这些哈希值进行哈希传递攻击，从而实现网络内的横向移动以及潜在的权限提升。Ivanti 已经发布了相关补丁进行修复，建议尽快更新相关系统。

Progress WhatsUp Gold 路径遍历漏洞

漏洞编号 CVE-2024-4885，CVSS评分9.8，WhatsUp Gold 提供对设备、应用程序、服务器和流量的可视性。该漏洞是鱿鱼 WhatsUp Gold 对GetFileWithoutZip 方法的实现没有正确验证用户输入，导致允许未经过身份验证的攻击者实现远程代码执行。厂商已经通过版本 2023.1.3修复该漏洞，目前观察到针对该漏洞的利用尝试，建议用户尽快修复。

VMWare 的Time-of-Check Time-of-Use漏洞

漏洞编号 CVE-2025-22224，CVSS评分9.3，该漏洞可能导致越界写入，研究发现有超过 37000 台 VMware ESXi 服务器存在该漏洞风险。目前VMware已经发布补丁修复，强烈建议用户尽快安装补丁，因为现有证据表明，已经有黑客利用该漏洞发起攻击。

来源：安全419

标签：漏洞 epm 安全419 edimax 419

本文地址：https://news.43u.com.cn/a/1176760.html

免责声明：本站系转载，并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请在30日内与本站联系，我们将在第一时间删除内容!