基本信息
漏洞编号: CVE-2025-59287
危险等级: 高危
影响版本:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2025
Windows Server 2022, 23H2 Edition (Server Core installation)
Windows Server 2025 (Server Core installation)
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
验证状态: 已在野被利用,存在公开PoC/EXP(GitHub)
修复状态: 官方已发布修复更新(KB5066835,2025-10 累积更新)
修复状态: 官方已发布修复更新(KB5066835,2025-10 累积更新)
漏洞详情
根据CISA“已知被利用漏洞目录”(KEV)与微软MSRC条目,CVE-2025-59287为WSUS反序列化不受信数据(CWE-502)导致的远程代码执行(RCE)漏洞。攻击者可构造特制序列化载荷,通过WSUS对不受信数据的反序列化在服务端执行任意代码,属于无需交互、低复杂度利用的高危场景。公开的GitHub样例展示了如何构造.NET二进制序列化负载并经由加密包装后作为请求数据投递,从而触发远程命令执行。该漏洞已被纳入CISA KEV,表明存在真实环境在野利用,需优先处置。
影响范围
影响版本
微软未在KEV条目中细化版本清单。结合WSUS的典型部署,可能影响在支持WSUS角色的受支持Windows Server版本上启用并暴露或可达的WSUS实例。请以MSRC页面与对应安全更新说明为准: MSRC: CVE-2025-59287。
受影响的产品
- Windows Server(启用并运行WSUS角色的实例)
- 典型监听端口:8530(HTTP)/ 8531(HTTPS)
验证方法
- 资产清点:定位启用了WSUS角色的Windows Server,确认服务端口(8530/8531)与对外暴露情况。
- 版本与补丁检查:在受控窗口内执行
DISM /online /get-packages或使用Windows更新历史,确认是否已安装2025-10累积更新(KB5066835)。 - 日志与流量审计:检查IIS/WSUS相关日志中对
/ReportingWebService/ReportingWebService.asmx的异常请求,关注可疑大块Base64或序列化特征负载。 - 边界检测:使用WAF/IDS对进入WSUS的HTTP(S)流量进行规则匹配,发现疑似反序列化攻击载荷即时告警。
修复方案
方案一:安装官方更新(强烈推荐)
请尽快安装2025年10月安全累积更新 KB5066835(Windows 11/Server 24H2/25H2相关分支),该更新集中修复了本次安全问题。参考:
- Microsoft 支持文章(KB5066835):support.microsoft.com
- Microsoft Update Catalog(KB5066835):catalog.update.microsoft.com
- MSRC 漏洞页:MSRC CVE-2025-59287
离线安装举例(管理员权限):
DISM /Online /Add-Package /PackagePath:c:\packages\Windows11.0-KB5066835-x64.msu
# 或 PowerShell:
Add-WindowsPackage -Online -PackagePath "c:\packages\Windows11.0-KB5066835-x64.msu"
方案二:配置加固(补丁前的临时缓解)
- 网络隔离:限制对 8530/8531 的访问,仅允许内网管理网段;避免WSUS直连公网。
- 最小暴露:在边界设备或WAF上限制对
/ReportingWebService/ReportingWebService.asmx的访问来源与方法。 - 关闭未用服务:未使用WSUS的服务器请停用或卸载该角色。
- 监控与响应:对可疑反序列化载荷特征实施检测与拦截,发现异常连接与进程创建及时隔离处置。