低危漏洞可以忽略吗？

wen 网络安全 2026-06-08 25

低危漏洞可以忽略吗？安全人员必须警惕的“温水煮青蛙”陷阱

目录导读

低危漏洞的真实定义与常见误解
为何企业容易忽视低危漏洞
低危漏洞累积爆发：典型安全事件复盘
低危漏洞被利用的真实路径分析
如何科学评估与处置低危漏洞（含问答）
建议与行动清单

低危漏洞的真实定义与常见误解

在CVSS（通用漏洞评分系统）中，低危漏洞通常指评分在0.1-3.9之间的安全问题，很多团队的第一反应是“标记后下次再修”,甚至直接关闭工单。

低危漏洞可以忽略吗？

常见误解包括：

误认为“低危 = 不影响安全”
以为低危漏洞没人会利用
将开发资源优先分配给高/中危漏洞，低危无限延期

但安全圈有句名言：“没有无用的漏洞，只有没找到利用链的攻击者。” 低危漏洞往往是高级攻击链中的最后一环,或是绕过其他防护的关键垫脚石。

为何企业容易忽视低危漏洞

根据某安全机构2023年对500家企业的调研：

68% 的企业对低危漏洞的修复周期超过180天
42% 的企业从不对低危漏洞进行复测
29% 的企业明确表示“低危不会优先修复”

原因在于：

业务部门觉得“不影响运行,别动代码”
安全团队在考核压力下优先处理高危漏洞
缺乏自动化工具对低危进行持续监控

但低危漏洞的可忽略性本身就是最大的风险。

低危漏洞累积爆发：典型安全事件复盘

信息泄露“组合拳”

某电商平台曾存在一个低危的“路径遍历漏洞”（CVSS 3.2），安全团队标记“低危”后未修复，半年后，攻击者利用该漏洞找到日志文件路径，进一步通过另一个低危的“日志未脱敏”漏洞，配合第三个“简单验证码”漏洞（低危）,最终拖走240万条用户数据。

幽灵般的XSS微漏洞

某SaaS企业存在一个低危的“反射型XSS”（CVSS 3.5），只能攻击登录后的用户，开发认为“谁会自己点链接”而未修，但红队测试发现，攻击者通过CSRF（跨站请求伪造）诱导管理员点击，使攻击链从低危变成了“管理员权限窃取”的中高危事件。

安全专家常说：“低危漏洞+低危漏洞+正确时机 = 高危事故。”

低危漏洞被利用的真实路径分析

攻击者利用低危漏洞的常见模式：

阶段	手法	涉及的漏洞类型
信息收集	利用低危信息泄露漏洞获取目录、版本、证书信息	路径遍历、版本信息泄露、错误详情暴露
横向突破	用低危绕过（如弱验证码、未授权访问）进入内网	弱会话管理、低危权限提升
后渗透利用	利用低危配置错误（如日志不脱敏、第三方组件版本过旧）扩大战果	低危组件漏洞、配置不当

关键结论： 低危漏洞的问题不在于“单独利用”，而在于组合利用和作为跳板。

如何科学评估与处置低危漏洞（含问答）

常见问答

Q1：低危漏洞真的一个都不能忽略吗？ A：不一定，可以忽略的只有两种情况：一是该漏洞仅在完全隔离的非生产环境存在；二是该漏洞需要极其苛刻的条件（如物理接触未联网设备），除此之外，所有低危漏洞都应进入修复队列。

Q2：安全团队人力有限，低危修复优先级怎么定？ A：建议按“组合风险”排序，使用公式：风险评分 = CVSS分 × (可被组合利用的漏洞数量 + 1) × 资产敏感度，一个CVSS 2.5的漏洞，如果有3个可组合的其他低危漏洞，在核心系统上，评分应提升至2.5×4×2=20,远超一般高危。

Q3：低危漏洞的修复成本会不会太高？ A：低危漏洞修复成本通常远低于高危，许多低危问题只需配置变更（如隐藏版本号、关闭错误详细信息、设置CSP头），代码改动极小，早期修复一个低危漏洞平均只需1-2个小时,而半年后被迫修补往往要耗费几天。

Q4：低危漏洞修复后需要再测试吗？ A：必须，重点测试该漏洞是否被彻底关闭，以及修复是否引入新的中危/高危漏洞（如内容安全策略误拦截正常功能）。