atsec唐冬生
关键词: PCI DSS、漏洞管理、风险排序、补丁管理、应急响应、安全运维、渗透测试、CVSS、弱点扫描、ASV
2025年末,一则”紧急!Next.js高危漏洞致服务器被黑,我已中招!”的告警在安全社区流传。从攻击日志还原的攻击链来看:攻击者利用Next.js框架的远程代码执行漏洞(CVE-2025-55182 / CVE-2025-66478,CVSS 9.1),通过构造特制HTTP请求在服务器上执行任意命令,随后从外部IP拉取载荷脚本,赋予777权限执行,完成挖矿程序和DDoS木马的部署。整个过程利用的是已公开披露的已知漏洞,攻击路径清晰,技术门槛并不高。
…
