Nuclei Templates v10.1.6 版本发布：新增78个安全检测模板

Nuclei Templates 是 ProjectDiscovery 开源的一款强大的安全扫描模板库，它能够与 Nuclei 扫描器配合使用，快速检测目标系统中的安全问题。该模板库持续更新，包含了大量经过验证的安全检测规则，覆盖了各种常见的 Web 应用、中间件、网络设备等安全风险。

版本亮点

本次 v10.1.6 版本更新带来了78个全新的安全检测模板，其中包含45个CVE安全检测能力。这些新增模板覆盖了多个关键安全问题，特别值得关注的有：

1. Next.js中间件控制问题(CVE-2025-29927)：这是一个关键级问题，可能绕过Next.js框架的中间件安全控制，导致未授权访问敏感功能。

2. FlowiseAI文件上传问题(CVE-2025-26319)：影响FlowiseAI 2.2.6及以下版本，可能利用此问题上传任意文件，可能导致远程代码执行。

3. GitLab SAML认证控制问题(CVE-2025-25291)：这是一个严重的认证控制问题，可能无需有效凭证即可访问受保护资源。

4. Apache Tomcat路径处理问题(CVE-2025-24813)：影响Tomcat服务器的关键远程代码执行问题，可能通过精心构造的路径实现代码执行。

5. CrushFTP认证控制问题(CVE-2025-2825)：可以绕过CrushFTP的认证机制，直接访问受限功能。

技术深度分析

本次更新特别关注了现代Web框架和云原生环境中的安全风险。例如新增的Next.js中间件控制检测模板，反映了现代JavaScript框架在安全实现上的潜在缺陷。这类问题通常源于框架对请求处理流程的设计问题，可能导致安全控制被绕过。

在云原生安全方面，新增的Ingress-Nginx控制器RCE检测模板(CVE-2025-1974)针对Kubernetes环境中常见的入口控制器安全问题。这类问题可能允许在集群内部执行任意代码，危害性极高。

针对物联网设备的安全检测也是本次更新的重点，新增了多个路由器设备的认证控制和配置泄露检测模板，如TP-Link、Netgear等常见品牌设备的问题检测能力。

使用建议

对于安全团队来说，建议立即更新至最新版本模板库，特别是针对以下场景进行优先扫描：

1. 使用Next.js框架开发的Web应用
2. 部署了FlowiseAI、GitLab等受影响系统的环境
3. 基于Tomcat的应用服务器
4. 使用CrushFTP的文件服务环境
5. Kubernetes集群中的Ingress-Nginx控制器

对于开发团队，建议关注这些问题的根本原因，在自身代码中避免类似安全问题。例如Next.js中间件控制问题提醒开发者需要谨慎设计认证流程，不能完全依赖框架提供的安全机制。

总结

Nuclei Templates v10.1.6版本延续了ProjectDiscovery团队对最新安全威胁的快速响应能力，新增的78个模板大大扩展了扫描器的检测范围。特别是对现代Web框架和云原生环境的深度覆盖，使其成为企业安全防御体系中不可或缺的工具。安全团队应当定期更新模板库，并针对新公布的问题进行优先扫描，确保及时发现和修复系统中的安全隐患。