信息安全漏洞月报（2025年3月）

漏洞态势

根据国家信息安全漏洞库（CNNVD）统计，2025年3月采集安全漏洞共4024个。

本月接报漏洞1913个，其中信息技术产品漏洞（通用型漏洞）1610个，网络信息系统漏洞（事件型漏洞）303个。漏洞平台推送漏洞39536个。

重大漏洞通报

Apache Tomcat 环境问题漏洞（CNNVD-202503-1068/CVE-2025-24813）：Apache Tomcat 11.0.0-M1至11.0.2版本、10.1.0-M1至10.1.34版本和9.0.0.M1至9.0.98版本存在环境问题漏洞。攻击者利用该漏洞可以远程执行代码或泄露敏感信息。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lists.apache.org/thread/j5fkjv2k477os90nczf2v9l61fb0kkgq

一
公开漏洞情况

根据国家信息安全漏洞库（CNNVD）统计，2025年3月新增安全漏洞共4024个，从厂商分布来看，WordPress漏洞数量最多，共发布1128个；从漏洞类型来看，跨站脚本漏洞占比最大，达到15.73%。本月新增漏洞中，超危漏洞301个、高危漏洞1236个、中危漏洞2264个、低危漏洞223个，相应修复率分别为68.11%、72.50%、71.43%以及59.20%。合计2850个漏洞已有修复补丁发布，本月整体修复率70.83%。

1.1 漏洞增长概况

2025年3月新增安全漏洞4024个，与上月（3638个）相比增加了10.62%。根据近6个月漏洞新增数量统计图，平均每月漏洞数量达到3797个。

9795e9a65a6d188708eb1382702966ca_640_wx_fmt=png&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1.webp

图1 2024年10月至2025年3月漏洞新增数量统计图

1.2 漏洞分布情况

1.2.1 漏洞厂商分布

2025年3月厂商漏洞数量分布情况如表1所示，WordPress漏洞达到1128个，占本月漏洞总量28.03%。

表1 2025年3月新增漏洞排名前十厂商统计表

序号	厂商名称	漏洞数量(个)	所占比例
1	WordPress	1128	28.03%
2	Linux	216	5.37%
3	Apple	159	3.95%
4	PHPGurukul	81	2.01%
5	Microsoft	66	1.64%
6	Vasion	49	1.22%
7	腾达	46	1.14%
8	Adobe	43	1.07%
9	IBM	39	0.97%
10	Code-Projects	37	0.92%

1.2.2 漏洞类型分布

2025年3月漏洞类型分布情况如表2所示，其中跨站脚本类漏洞所占比例最大，约为15.73%。

表2 2025年3月漏洞类型统计表

序号	漏洞类型	漏洞数量(个)	所占比例
1	跨站脚本	633	15.73%
2	跨站请求伪造	211	5.24%
3	代码问题	190	4.72%
4	注入	137	3.40%
5	资源管理错误	124	3.08%
6	SQL注入	120	2.98%
7	缓冲区错误	114	2.83%
8	代码注入	112	2.78%
9	输入验证错误	73	1.81%
10	路径遍历	72	1.79%
11	访问控制错误	69	1.72%
12	信息泄露	48	1.19%
13	授权问题	44	1.09%
14	操作系统命令注入	38	0.94%
15	命令注入	28	0.70%
16	数据伪造问题	15	0.37%
17	信任管理问题	13	0.32%
18	日志信息泄露	13	0.32%
19	加密问题	7	0.17%
20	环境问题	6	0.15%
21	数字错误	4	0.10%
22	后置链接	4	0.10%
23	竞争条件问题	3	0.08%
24	安全特征问题	3	0.08%
25	参数注入	2	0.05%
26	格式化字符串错误	1	0.03%
27	权限许可和访问控制问题	1	0.03%

1.2.3 漏洞危害等级分布

根据漏洞的影响范围、利用方式、攻击后果等情况，从高到低分为四个等级：超危、高危、中危和低危。2025年3月漏洞危害等级分布情况如图2所示，其中超危漏洞301个，占本月漏洞总量7.48%。

f518f5f6ed1d517a623f345b6f1faa56_640_wx_fmt=png&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1.webp

图2 2025年3月漏洞危害等级分布图

1.3漏洞修复情况

1.3.1 整体修复情况

2025年3月各危害等级修复情况如图3所示，低危漏洞修复率最高，为72.50%，超危漏洞修复率最低，为59.20%。

总体来看，本月整体修复率由上月的80.03%下降至本月的70.83%。

9425bdaaa4cb2e583070e178d5c8b92b_640_wx_fmt=png&from=appmsg&tp=webp&wxfrom=5&wx_lazy=1&wx_co=1.webp

图3 2025年3月各危害等级修复情况统计图

1.3.2 厂商修复情况

2025年3月新增漏洞数量排名前十厂商修复情况如表3所示，合计1864个漏洞，占本月漏洞总量46.33%，平均修复率为68.22%。

表3 2025年3月厂商修复情况统计表

序号	厂商名称	漏洞数量(个)	修复数量	修复率
1	WordPress	1128	912	80.86%
2	Linux	216	213	98.62%
3	Apple	159	159	100.00%
4	PHPGurukul	81	0	0.00%
5	Microsoft	66	66	100.00%
6	Vasion	49	49	100.00%
7	腾达	46	0	0.00%
8	Adobe	43	43	100.00%
9	IBM	39	39	100.00%
10	Code-Projects	37	1	2.71%

二
接报漏洞情况

2025年3月接报漏洞1913个，其中信息技术产品漏洞（通用型漏洞）1610个，网络信息系统漏洞（事件型漏洞）303个。详情如表4所示。

表4 2025年3月接报漏洞情况表

微信图片_20250408231721.png

三
漏洞通报情况

3.1 通报情况

2025年3月接报通报1283个，详情情况如表5所示。

表5 2025年3月接报通报情况表

3.2 重要漏洞

表6 2025年3月重要漏洞表

序号	漏洞名称	CNNVD ID/CVE ID	危害等级
1	CrushFTP 安全漏洞	CNNVD-202503-3102/ CVE-2025-2825	超危
2	Kubernetes ingress-nginx 安全漏洞	CNNVD-202503-2826/ CVE-2025-1974	超危
3	Linux kernel 安全漏洞	CNNVD-202503-2657/ CVE-2025-0927	高危
4	Next.js 安全漏洞	CNNVD-202503-2583/ CVE-2025-29927	超危
5	GLPI SQL注入漏洞	CNNVD-202503-2036/ CVE-2025-24799	高危
6	Fortinet FortiOS 格式化字符串错误漏洞	CNNVD-202503-1211/ CVE-2024-45324	高危
7	Apache Tomcat 环境问题漏洞	CNNVD-202503-1068/ CVE-2025-24813	超危
8	Laravel Framework 跨站脚本漏洞	CNNVD-202503-1034/ CVE-2024-13918	高危
9	Cognita 路径遍历漏洞	CNNVD-202503-926/ CVE-2025-27519	超危
10	Edimax IC-7100 操作系统命令注入漏洞	CNNVD-202503-562/ CVE-2025-1316	超危
11	Flowise 代码问题漏洞	CNNVD-202503-557/ CVE-2025-26319	超危