信息安全漏洞月报(2022年10月)
漏洞态势根据国家信息安全漏洞库(CNNVD)统计,2022年10月份采集安全漏洞共2001个。
本月接报漏洞51286个,其中信息技术产品漏洞(通用型漏洞)705个,网络信息系统漏洞(事件型漏洞)50581个,其中漏洞平台推送漏洞48742个。
重大漏洞通报
Fortinet FortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684):成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。Fortinet FortiOS多个版本均受此漏洞影响。目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
微软官方发布公告更新了Microsoft Azure Kubernetes 安全漏洞(CNNVD-202210-553、CVE-2022-37968)、MicrosoftExchange Server 安全漏洞(CNNVD-202208-2493、CVE-2022-21980)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2022年10月份新增安全漏洞共2001个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布86个;从漏洞类型来看,缓冲区错误类的漏洞占比最大,达到13.24%。本月新增漏洞中,超危漏洞319个、高危漏洞769个、中危漏洞871个、低危漏洞42个,相应修复率分别为61.44%、75.81%、76.00%以及95.24%。合计1481个漏洞已有修复补丁发布,本月整体修复率74.01%。
截至2022年10月31日,CNNVD采集漏洞总量已达195428个。
1.1 漏洞增长概况
2022年10月新增安全漏洞2001个,与上月(2133个)相比减少了6.19%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2115个。
图1 2022年5月至2022年10月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
2022年10月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到86个,占本月漏洞总量的4.30%。
表12022年10月排名前十厂商新增安全漏洞统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
WordPress基金会
86
4.30%
2
Microsoft
85
4.25%
3
Apple
82
4.10%
4
Oracle
80
4.00%
5
76
3.80%
6
Linux基金会
57
2.85%
7
SAP
55
2.75%
8
Juniper Networks
37
1.85%
9
Autodesk
36
1.80%
10
Adobe
33
1.65%
1.2.2 漏洞产品分布
2022年10月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共68个,WindowsServer 2022漏洞数量最多,共66个,占主流操作系统漏洞总量的9.13%,排名第一。
表22022年10月主流操作系统漏洞数量统计
序号
操作系统名称
漏洞数量
1
Windows Server 2022
66
2
Windows 11
66
3
Windows 10
64
4
Windows Server 2019
61
5
Linux Kernel
55
6
Windows Server 2016
54
7
Windows Server 2012
50
8
Windows Server 2012 R2
50
9
Windows 8.1
49
10
Windows Rt 8.1
49
11
Windows Server 2008
44
12
Windows Server 2008 R2
44
13
Windows 7
43
14
Apple iOS
25
15
Android
3
1.2.3 漏洞类型分布
2022年10月份发布的漏洞类型分布如表3所示,其中缓冲区错误类漏洞所占比例最大,约为13.24%。
表32022年10月漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
缓冲区错误
265
13.24%
2
跨站脚本
168
8.40%
3
代码问题
145
7.25%
4
SQL注入
101
5.05%
5
资源管理错误
67
3.35%
6
输入验证错误
60
3.00%
7
路径遍历
39
1.95%
8
命令注入
31
1.55%
9
跨站请求伪造
30
1.50%
10
操作系统命令注入
29
1.45%
11
授权问题
27
1.35%
12
信息泄露
19
0.95%
13
访问控制错误
19
0.95%
14
竞争条件问题
17
0.85%
15
信任管理问题
14
0.70%
16
格式化字符串错误
14
0.70%
17
数据伪造问题
10
0.50%
18
代码注入
8
0.40%
19
注入
7
0.35%
20
加密问题
6
0.30%
21
日志信息泄露
4
0.20%
22
后置链接
3
0.15%
23
安全特征问题
3
0.15%
24
参数注入
2
0.10%
25
数字错误
1
0.05%
26
环境问题
1
0.05%
27
其他
911
45.53%
1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年10月漏洞危害等级分布如图2所示,其中超危漏洞319条,占本月漏洞总数的15.94%。
图22022年10月漏洞危害等级分布
1.3漏洞修复情1.3.1 整体修复情况
2022年10月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到95.24%,超危漏洞修复率最低,比例为61.44%。
总体来看,本月整体修复率由上月的72.57%上升至本月的74.01%。
图32022年10月漏洞修复数量统计
1.3.2 厂商修复情况
2022年10月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Microsoft、Apple等十个厂商共627条漏洞,占本月漏洞总数的31.33%,漏洞修复率为84.21%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Microsoft、Apple、Oracle、SAP、Autodesk、Adobe等公司本月漏洞修复率均为100%,共528条漏洞已全部修复。
表42022年10月厂商修复情况统计表
序号
厂商名称
漏洞数量(个)
修复数量
修复率
1
WordPress基金会
86
79
91.86%
2
Microsoft
85
85
100.00%
3
Apple
82
82
100.00%
4
Oracle
80
80
100.00%
5
76
22
28.95%
6
Linux基金会
57
54
94.74%
7
SAP
55
55
100.00%
8
Juniper Networks
37
2
5.41%
9
Autodesk
36
36
100.00%
10
Adobe
33
33
100.00%
1.4 重要漏洞实例1.4.1 超危漏洞实例
2022年10月超危漏洞共319个,其中重要漏洞实例如表5所示。
表52022年10月超危漏洞实例
漏洞类型
厂商
CNNVD编号
漏洞实例
SQL注入
B.C.Institute of Technology
CNNVD-202210-254
VeritasNetBackup
SQL注入漏洞
(CNNVD-202210-059)
CNNVD-202210-255
CNNVD-202210-256
CNNVD-202210-257
CNNVD-202210-258
CNNVD-202210-259
CNNVD-202210-261
CNNVD-202210-262
CNNVD-202210-263
CNNVD-202210-264
CNNVD-202210-266
CNNVD-202210-272
ChangingInformation Technology
CNNVD-202210-1181
Feathers
CNNVD-202210-2159
CNNVD-202210-2162
OpenCart
CNNVD-202210-731
SEMCMS
CNNVD-202210-2450
CNNVD-202210-2452
CNNVD-202210-2453
CNNVD-202210-2455
Socket.IO
CNNVD-202210-2161
Veritas
CNNVD-202210-059
CNNVD-202210-060
CNNVD-202210-100
seccome
CNNVD-202210-2436
个人开发者
CNNVD-202210-252
CNNVD-202210-260
CNNVD-202210-633
CNNVD-202210-865
CNNVD-202210-866
CNNVD-202210-867
CNNVD-202210-923
CNNVD-202210-934
CNNVD-202210-1091
CNNVD-202210-1212
CNNVD-202210-1500
CNNVD-202210-2408
CNNVD-202210-2449
CNNVD-202210-2465
CNNVD-202210-2466
CNNVD-202210-2479
CNNVD-202210-2483
CNNVD-202210-2485
中国北京九思协同软件
CNNVD-202210-718
台达电子
CNNVD-202210-2203
台达电子
CNNVD-202210-2204
代码问题
Apache基金会
CNNVD-202210-1211
ApacheDubbo
代码问题漏洞
(CNNVD-202210-1211)
ClipperCMS团队
CNNVD-202210-846
CNNVD-202210-848
DataEase
CNNVD-202210-1737
Democritus
CNNVD-202210-611
CNNVD-202210-612
CNNVD-202210-613
CNNVD-202210-614
CNNVD-202210-617
CNNVD-202210-618
CNNVD-202210-620
CNNVD-202210-621
CNNVD-202210-623
CNNVD-202210-624
CNNVD-202210-626
CNNVD-202210-628
CNNVD-202210-630
CNNVD-202210-631
CNNVD-202210-632
CNNVD-202210-634
CNNVD-202210-640
JuniperNetworks
CNNVD-202210-652
MediaLinks
CNNVD-202210-768
MelisPlatform
CNNVD-202210-767
Mitel
CNNVD-202210-2103
PHPOK
CNNVD-202210-1176
RedisLabs
CNNVD-202210-2429
VMware
CNNVD-202210-334
CNNVD-202210-2438
Veritas
CNNVD-202210-057
WordPress基金会
CNNVD-202210-2487
ZigorCorporación
CNNVD-202210-1168
dotPDN
CNNVD-202210-737
CNNVD-202210-738
个人开发者
CNNVD-202210-066
CNNVD-202210-847
CNNVD-202210-956
CNNVD-202210-1144
CNNVD-202210-1426
CNNVD-202210-1685
CNNVD-202210-1688
CNNVD-202210-1738
CNNVD-202210-2112
CNNVD-202210-2407
凯京科技
CNNVD-202210-1158
迅易科技
CNNVD-202210-1100
授权问题
Apache基金会
CNNVD-202210-706
ApacheShiro
授权问题漏洞
(CNNVD-202210-706)
Dell
CNNVD-202210-1605
Discourse
CNNVD-202210-2211
MediaLinks
CNNVD-202210-712
OXHOO
CNNVD-202210-1005
Secuever
CNNVD-202210-1134
个人开发者
CNNVD-202210-244
CNNVD-202210-1733
立端
CNNVD-202210-1691
腾达
CNNVD-202210-1506
操作系统命令注入
Abode
CNNVD-202210-1467
FortiTester
操作系统命令注入漏洞
(CNNVD-202210-1200)
CNNVD-202210-1468
CNNVD-202210-1507
CNNVD-202210-1509
CNNVD-202210-1516
CNNVD-202210-2087
CNNVD-202210-2088
CNNVD-202210-2089
CNNVD-202210-2090
CNNVD-202210-2091
CNNVD-202210-2092
CNNVD-202210-2093
CNNVD-202210-2094
FortiTester
CNNVD-202210-1200
CNNVD-202210-1201
CNNVD-202210-1202
Robustel
CNNVD-202210-1030
个人开发者
CNNVD-202210-1735
缓冲区错误
Accusoft
CNNVD-202210-2397
OmronCX-Programmer
缓冲区错误漏洞
(CNNVD-202210-127)
Adobe
CNNVD-202210-695
CNNVD-202210-696
CNNVD-202210-700
CNNVD-202210-703
CNNVD-202210-497
GNU基金会
CNNVD-202210-1689
MikroTik
CNNVD-202210-1034
Omron
CNNVD-202210-127
CNNVD-202210-128
CNNVD-202210-129
Qualcomm
CNNVD-202210-1340
Yokogawa
CNNVD-202210-1325
个人开发者
CNNVD-202210-003
CNNVD-202210-1594
CNNVD-202210-2356
CNNVD-202210-2416
华为
CNNVD-202210-148
CNNVD-202210-168
CNNVD-202210-169
CNNVD-202210-170
CNNVD-202210-175
友讯
CNNVD-202210-2174
CNNVD-202210-2176
CNNVD-202210-2177
CNNVD-202210-2178
CNNVD-202210-2185
吉翁电子
CNNVD-202210-187
CNNVD-202210-192
宏碁
CNNVD-202210-1346
研华
CNNVD-202210-2398
CNNVD-202210-2399
立端
CNNVD-202210-1690
CNNVD-202210-1692
CNNVD-202210-1694
CNNVD-202210-1695
CNNVD-202210-1698
群晖科技
CNNVD-202210-1474
CNNVD-202210-1475
腾达
CNNVD-202210-1065
CNNVD-202210-1066
CNNVD-202210-1068
CNNVD-202210-1090
CNNVD-202210-1092
CNNVD-202210-1093
CNNVD-202210-1095
CNNVD-202210-1096
CNNVD-202210-1099
CNNVD-202210-1193
CNNVD-202210-1412
CNNVD-202210-1413
CNNVD-202210-1414
CNNVD-202210-1415
CNNVD-202210-1416
CNNVD-202210-1418
CNNVD-202210-2395
访问控制错误
Abode
CNNVD-202210-1520
AbodeIota
访问控制错误漏洞
(CNNVD-202210-1520)
DAIKIN
CNNVD-202210-603
Fortinet
CNNVD-202210-347
HaasAutomation
CNNVD-202210-2119
个人开发者
CNNVD-202210-843
CNNVD-202210-1455
CNNVD-202210-1479
CNNVD-202210-2166
台达电子
CNNVD-202210-2098
CNNVD-202210-2100
群晖科技
CNNVD-202210-2097
资源管理错误
Exim
CNNVD-202210-1525
Linuxkernel
资源管理错误漏洞
(CNNVD-202210-1609)
Linux基金会
CNNVD-202210-1609
Nginx
CNNVD-202210-2498
curl
CNNVD-202210-2217
华为
CNNVD-202210-171
输入验证错误
CNNVD-202210-495
WordPress
输入验证错误漏洞
(CNNVD-202210-1136)
CNNVD-202210-014
CNNVD-202210-016
WordPress基金会
CNNVD-202210-1136
XKCP
CNNVD-202210-1541
1. VeritasNetBackup SQL注入漏洞(CNNVD-202210-059)
Veritas NetBackup是美国Veritas公司的一个应用于为企业环境的提供备份、恢复功能的存储服务。该软件支持对勒索软件的检测和对元数据、虚拟环境等环境数据的备份保护。
Veritas NetBackup10.0 版本及之前版本存在SQL注入漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.veritas.com/content/support/en_US/security/VTS22-011#H1
2. ApacheDubbo 代码问题漏洞(CNNVD-202210-1211)
Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。
Apache dubbohessian-lite 3.2.12版本及之前版本存在代码问题漏洞。攻击者利用该漏洞执行任意代码。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk
3. ApacheShiro 授权问题漏洞(CNNVD-202210-706)
Apache Shiro是美国阿帕奇(Apache)基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。
Apache Shiro 1.10.0之前版本存在授权问题漏洞,该漏洞源于攻击者通过RequestDispatcher转发或包含时可以绕过其身份认证。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg
4. FortiTester操作系统命令注入漏洞(CNNVD-202210-1200)
FortiTester是FortiTester公司的一款基于 Fortinet 专业的网络流量测试工具。
FortiTester 2.3.0 到 3.9.1、4.0.0 到 4.2.0、7.0.0 到 7.1.0版本存在安全漏洞,该漏洞源于SSH 登录组件中使用的特殊元素的不适当中和,攻击者利用该漏洞可以在底层 shell 中执行任意命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://fortiguard.com/psirt/FG-IR-22-237
5. OmronCX-Programmer 缓冲区错误漏洞(CNNVD-202210-127)
Omron CX-Programmer是日本欧姆龙(Omron)公司的一款PLC(可编程逻辑控制器)编程软件。
Omron CX-Programmer9.78及以前版本存在缓冲区错误漏洞,该漏洞源于攻击者可以通过越界写实现任意代码执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ia.omron.com/product/tool/26/cxone/e4_doc.html?_ga=2.122882383.558156545.1661312515-1562293325.1567412774#cx_programmer
6. Abode Iota访问控制错误漏洞(CNNVD-202210-1520)
Abode Iota是Abode公司的一个可靠的 Diy 家庭安全系统。
Abode Iota 6.9X 和 6.9Z 版本存在访问控制错误漏洞,该漏洞源于GHOME 控制功能中存在身份验证绕过,攻击者利用该漏洞可以发送恶意 XML 有效负载执行任意命令。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://goabode.com/product/iota-security-kit
7. Linuxkernel 资源管理错误漏洞(CNNVD-202210-1609)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel 存在资源管理错误漏洞,该漏洞源于内存释放后重用。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.kernel.org/pub/scm/linux/kernel/git/bpf/bpf-next.git/commit/?id=d325dc6eb763c10f591c239550b8c7e5466a5d09
8. WordPress 输入验证错误漏洞(CNNVD-202210-1136)
WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。
WordPress 5.1版本存在输入验证错误漏洞,该漏洞源于“X-Forwarded-For”是一个HTTP头,用来携带客户端的原始IP地址,由于这些标头很可能由客户端添加到请求中,因此如果系统/设备使用在X-Forwarded-For 标头处减速的 IP 地址而不是原始 IP,则可能会遇到各种问题,如果源自这些字段的数据受到应用程序开发人员的信任并得到处理,则任何源自 IP 地址记录的授权检查都可能被操纵。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://wordpress.org/
1.4.2 高危漏洞实例
2022年10月高危漏洞共769个,其中重要漏洞实例如表6所示。
表62022年10月高危漏洞实例
漏洞类型
厂商
CNNVD编号
漏洞实例
SQL注入
MayuriK.
CNNVD-202210-878
RockwellAutomation Factory Talk VantagePoint
SQL注入漏洞
(CNNVD-202210-249)
ResIOT
CNNVD-202210-855
RockwellAutomation
CNNVD-202210-249
WordPress基金会
CNNVD-202210-1084
CNNVD-202210-1108
CNNVD-202210-1129
CNNVD-202210-1716
CNNVD-202210-1717
CNNVD-202210-1718
CNNVD-202210-1721
CNNVD-202210-2477
CNNVD-202210-2553
ZKTeco
CNNVD-202210-004
个人开发者
CNNVD-202210-191
CNNVD-202210-193
CNNVD-202210-201
CNNVD-202210-214
CNNVD-202210-215
CNNVD-202210-237
CNNVD-202210-306
CNNVD-202210-308
CNNVD-202210-310
CNNVD-202210-311
CNNVD-202210-314
CNNVD-202210-315
CNNVD-202210-318
CNNVD-202210-574
CNNVD-202210-606
CNNVD-202210-608
CNNVD-202210-610
CNNVD-202210-793
CNNVD-202210-880
CNNVD-202210-883
CNNVD-202210-937
CNNVD-202210-1007
CNNVD-202210-1101
CNNVD-202210-1152
CNNVD-202210-1324
CNNVD-202210-2206
CNNVD-202210-2445
CNNVD-202210-2451
CNNVD-202210-2478
CNNVD-202210-2480
CNNVD-202210-2481
CNNVD-202210-2482
CNNVD-202210-2486
台达电子
CNNVD-202210-2146
CNNVD-202210-2160
CNNVD-202210-2391
代码问题
Adobe
CNNVD-202210-705
GitHubEnterprise Server
代码问题漏洞
(CNNVD-202210-1366)
CNNVD-202210-733
Apache基金会
CNNVD-202210-253
CNNVD-202210-1707
CNNVD-202210-1712
CNNVD-202210-2173
Bigcommerec
CNNVD-202210-638
CERTCoordination Center
CNNVD-202210-2172
Chamilo协会
CNNVD-202210-1145
Dell
CNNVD-202210-750
CNNVD-202210-751
EVE-NG
CNNVD-202210-1495
Emlog
CNNVD-202210-1556
F5
CNNVD-202210-1452
FasterXML
CNNVD-202210-006
CNNVD-202210-007
Github
CNNVD-202210-1366
ISC
CNNVD-202210-133
Jenkins
CNNVD-202210-1373
CNNVD-202210-1387
JuniperNetworks
CNNVD-202210-658
CNNVD-202210-661
CNNVD-202210-663
CNNVD-202210-670
Linux基金会
CNNVD-202210-1526
LitespeedTechnologie
CNNVD-202210-2406
Mitel
CNNVD-202210-2111
OpenSSL团队
CNNVD-202210-400
Openjs基金会
CNNVD-202210-374
Panini
CNNVD-202210-348
SolarWinds
CNNVD-202210-1514
CNNVD-202210-1519
CNNVD-202210-1521
Sony
CNNVD-202210-615
Veritas
CNNVD-202210-070
WordPress基金会
CNNVD-202210-097
CNNVD-202210-1714
个人开发者
CNNVD-202210-309
CNNVD-202210-313
CNNVD-202210-316
CNNVD-202210-353
CNNVD-202210-571
CNNVD-202210-575
CNNVD-202210-625
CNNVD-202210-849
CNNVD-202210-851
CNNVD-202210-886
CNNVD-202210-889
CNNVD-202210-1008
CNNVD-202210-1072
CNNVD-202210-1155
CNNVD-202210-1198
CNNVD-202210-1203
CNNVD-202210-1486
CNNVD-202210-1493
CNNVD-202210-2409
CNNVD-202210-2410
CNNVD-202210-2437
CNNVD-202210-2484
卓卓网络
CNNVD-202210-055
CNNVD-202210-605
字节跳动
CNNVD-202210-1184
联发科
CNNVD-202210-011
CNNVD-202210-012
授权问题
Boodskap
CNNVD-202210-857
RockwellAutomation FactoryTalk Alarm and Events Server
授权问题漏洞
(CNNVD-202210-2369)
HEIDENHAIN
CNNVD-202210-2121
Perth
CNNVD-202210-739
RockwellAutomation
CNNVD-202210-2369
Siemens
CNNVD-202210-501
Wire
CNNVD-202210-1185
个人开发者
CNNVD-202210-1345
开放原子开源基金会
CNNVD-202210-916
操作系统命令注入
Abode
CNNVD-202210-1501
FortinetFortiOS
操作系统命令注入漏洞
(CNNVD-202210-361)
CNNVD-202210-1523
Dell
CNNVD-202210-529
FortiTester
CNNVD-202210-1206
Fortinet
CNNVD-202210-361
GL.iNet
CNNVD-202210-2386
Robustel
CNNVD-202210-1027
Siemens
CNNVD-202210-509
Webmin
CNNVD-202210-2084
个人开发者
CNNVD-202210-1147
缓冲区错误
Adobe
CNNVD-202210-677
Linuxkernel
缓冲区错误漏洞
(CNNVD-202210-845)
CNNVD-202210-679
CNNVD-202210-691
CNNVD-202210-692
CNNVD-202210-1321
Altair
CNNVD-202210-629
Autodesk
CNNVD-202210-064
CNNVD-202210-067
CNNVD-202210-069
CNNVD-202210-073
CNNVD-202210-074
CNNVD-202210-075
CNNVD-202210-086
CNNVD-202210-322
CNNVD-202210-323
CNNVD-202210-325
CNNVD-202210-326
CNNVD-202210-939
CNNVD-202210-940
CNNVD-202210-941
CNNVD-202210-942
CNNVD-202210-943
CNNVD-202210-948
CNNVD-202210-1564
CNNVD-202210-1567
CNNVD-202210-1568
CNNVD-202210-1571
CNNVD-202210-1572
CNNVD-202210-1573
CNNVD-202210-1574
CNNVD-202210-1575
CNNVD-202210-1576
CNNVD-202210-1577
CNNVD-202210-1578
CNNVD-202210-1580
CNNVD-202210-1582
CNNVD-202210-1596
BentleySystems
CNNVD-202210-781
CNNVD-202210-782
CNNVD-202210-783
Dell
CNNVD-202210-753
F5
CNNVD-202210-1409
CNNVD-202210-1419
CNNVD-202210-1451
Fortinet
CNNVD-202210-376
FreeRDP团队
CNNVD-202210-766
GPAC
CNNVD-202210-1352
CNNVD-202210-1354
Git
CNNVD-202210-1260
CNNVD-202210-010
CNNVD-202210-015
CNNVD-202210-022
CNNVD-202210-041
CNNVD-202210-043
CNNVD-202210-045
CNNVD-202210-101
CNNVD-202210-106
HornerAutomation
CNNVD-202210-119
CNNVD-202210-120
CNNVD-202210-121
JuniperNetworks
CNNVD-202210-672
Linux基金会
CNNVD-202210-845
CNNVD-202210-1508
CNNVD-202210-2151
Nginx
CNNVD-202210-2496
Qualcomm
CNNVD-202210-1339
SAMSUNG
CNNVD-202210-295
SAP
CNNVD-202210-409
CNNVD-202210-412
CNNVD-202210-413
CNNVD-202210-418
CNNVD-202210-420
CNNVD-202210-421
CNNVD-202210-424
CNNVD-202210-430
CNNVD-202210-433
CNNVD-202210-434
CNNVD-202210-436
CNNVD-202210-438
CNNVD-202210-439
CNNVD-202210-448
CNNVD-202210-452
CNNVD-202210-457
CNNVD-202210-460
CNNVD-202210-462
CNNVD-202210-464
CNNVD-202210-468
CNNVD-202210-471
CNNVD-202210-472
CNNVD-202210-503
CNNVD-202210-579
CNNVD-202210-580
CNNVD-202210-582
CNNVD-202210-583
CNNVD-202210-584
CNNVD-202210-585
CNNVD-202210-587
CNNVD-202210-588
CNNVD-202210-593
Siemens
CNNVD-202210-499
CNNVD-202210-516
Softing
CNNVD-202210-1515
Softmotions
CNNVD-202210-1611
TrendMicro
CNNVD-202210-365
个人开发者
CNNVD-202210-077
CNNVD-202210-078
CNNVD-202210-087
CNNVD-202210-1436
CNNVD-202210-2180
CNNVD-202210-2184
CNNVD-202210-2190
CNNVD-202210-2191
CNNVD-202210-2358
CNNVD-202210-2360
华为
CNNVD-202210-147
CNNVD-202210-149
CNNVD-202210-172
CNNVD-202210-176
CNNVD-202210-179
CNNVD-202210-181
CNNVD-202210-184
CNNVD-202210-185
华硕
CNNVD-202210-245
吉翁电子
CNNVD-202210-186
CNNVD-202210-188
CNNVD-202210-190
CNNVD-202210-194
CNNVD-202210-195
CNNVD-202210-197
CNNVD-202210-199
CNNVD-202210-205
群晖科技
CNNVD-202210-1470
腾达
CNNVD-202210-723
CNNVD-202210-725
CNNVD-202210-727
CNNVD-202210-1194
CNNVD-202210-2385
CNNVD-202210-2387
访问控制错误
InHandNetworks
CNNVD-202210-2400
TrendMicro Apex One
访问控制错误漏洞
(CNNVD-202210-362)
TrendMicro
CNNVD-202210-362
free5GC
CNNVD-202210-1736
华硕
CNNVD-202210-1342
资源管理错误
ARM
CNNVD-202210-2102
ARMMali GPU Kernel Driver
资源管理错误漏洞
(CNNVD-202210-2102)
Adobe
CNNVD-202210-680
CNNVD-202210-686
CNNVD-202210-687
CNNVD-202210-688
CNNVD-202210-689
CNNVD-202210-690
Autodesk
CNNVD-202210-320
CNNVD-202210-946
Containous
CNNVD-202210-522
F5
CNNVD-202210-1390
CNNVD-202210-1453
GitLab
CNNVD-202210-1121
CNNVD-202210-1585
CNNVD-202210-013
CNNVD-202210-024
CNNVD-202210-026
CNNVD-202210-047
CNNVD-202210-107
Linux基金会
CNNVD-202210-794
CNNVD-202210-803
CNNVD-202210-1052
CNNVD-202210-1106
CNNVD-202210-1107
CNNVD-202210-1139
CNNVD-202210-1140
CNNVD-202210-1538
CNNVD-202210-1548
CNNVD-202210-1549
CNNVD-202210-1563
Microsoft
CNNVD-202210-551
CNNVD-202210-566
Qualcomm
CNNVD-202210-1337
SAMSUNG
CNNVD-202210-294
Siemens
CNNVD-202210-513
Softing
CNNVD-202210-1512
Vim
CNNVD-202210-2209
pyup.io
CNNVD-202210-212
webpack
CNNVD-202210-558
个人开发者
CNNVD-202210-864
CNNVD-202210-1148
CNNVD-202210-1676
CNNVD-202210-2188
CNNVD-202210-2200
输入验证错误
Abode
CNNVD-202210-1485
F5BIG-IP
输入验证错误漏洞
(CNNVD-202210-1393)
Adobe
CNNVD-202210-732
CNNVD-202210-1322
CNNVD-202210-1504
Altair
CNNVD-202210-607
Cisco
CNNVD-202210-1457
Dell
CNNVD-202210-533
CNNVD-202210-535
CNNVD-202210-754
CNNVD-202210-760
CNNVD-202210-761
CNNVD-202210-764
F5
CNNVD-202210-1393
CNNVD-202210-056
CNNVD-202210-103
JuniperNetworks
CNNVD-202210-648
CNNVD-202210-664
CNNVD-202210-668
CNNVD-202210-674
CNNVD-202210-678
Lanner
CNNVD-202210-1702
LiteSpeedTechnologies
CNNVD-202210-2404
SAP
CNNVD-202210-415
Siemens
CNNVD-202210-395
CNNVD-202210-446
CNNVD-202210-514
个人开发者
CNNVD-202210-1680
华为
CNNVD-202210-146
联发科
CNNVD-202210-339
1. RockwellAutomation Factory Talk VantagePoint SQL注入漏洞(CNNVD-202210-249)
Rockwell AutomationFactory Talk VantagePoint是美国罗克韦尔(Rockwell Automation)公司的一个高级工业应用生态系统。通过提供开箱即用的支持 Web 的内容浏览和显示创建来实现生产力。
Rockwell AutomationFactory Talk VantagePoint 存在SQL注入漏洞,该漏洞源于未正确验证用户向后端数据库检索信息时输入的SQL语句导致具有基本用户权限的用户可以在服务器上执行远程代码执行。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1137043
2. GitHubEnterprise Server 代码问题漏洞(CNNVD-202210-1366)
GitHub EnterpriseServer是美国Github开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。
GitHub EnterpriseServer 3.6之前版本存在安全漏洞。攻击者利用该漏洞通过服务器端请求伪造(SSRF)获得访问权限,从而能够控制反序列化的数据。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://docs.github.com/en
3. RockwellAutomation FactoryTalk Alarm and Events Server 授权问题漏洞(CNNVD-202210-2369)
Rockwell AutomationFactoryTalk Alarm and Events Server是美国罗克韦尔(RockwellAutomation)公司的提供了一种连接到 Rockwell 的FactoryTalk 服务的方法,以便从已配置的 A&E 服务器中过滤警报。
Rockwell AutomationFactoryTalk Alarm and Events Server 存在安全漏洞。攻击者利用该漏洞可以访问敏感信息。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1136876
4. FortinetFortiOS 操作系统命令注入漏洞(CNNVD-202210-361)
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。
Fortinet FortiOS存在安全漏洞,该漏洞源于使用的特殊元素的中和不当。攻击者利用该漏洞在链接的FortiSwitch上执行特权命令。以下产品及版本受到影响:FortinetFortiOS 6.0.0版本至6.0.14版本、6.2.0版本至6.2.10版本、6.4.0版本至6.4.8版本、7.0.0版本至7.0.3版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.fortiguard.com/psirt/FG-IR-21-242
5. Linuxkernel 缓冲区错误漏洞(CNNVD-202210-845)
Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linux kernel 5.19.11及之前版本存在安全漏洞,该漏洞源于能够注入WLAN帧的攻击者可以在net/mac80211/scan.c的ieee80211_bss_info_update函数中造成缓冲区溢出。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.kernel.org/pub/scm/linux/kernel/git/wireless/wireless.git/commit/?id=aebe9f4639b13a1f4e9a6b42cdd2e38c617b442d
6. TrendMicro Apex One 访问控制错误漏洞(CNNVD-202210-362)
Trend Micro Apex One是美国趋势科技(TrendMicro)公司的一款终端防护软件。
Trend Micro Apex One2019 (on-prem)、SaaS版本存在安全漏洞,该漏洞源于 Apex One 源验证错误,攻击者利用该漏洞可以提升权限。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://success.trendmicro.com/solution/000291645
7. ARM MaliGPU Kernel Driver 资源管理错误漏洞(CNNVD-202210-2102)
ARM Mali GPU KernelDriver是英国ARM公司的一个图形处理器单元的驱动程序。
ARM Mali GPU KernelDriver 存在资源管理错误漏洞,该漏洞源于允许非特权用户进行不当的GPU处理操作,以获得对已释放内存的访问。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities
8. F5 BIG-IP 输入验证错误漏洞(CNNVD-202210-1393)
F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。
F5 BIG-IP 存在输入验证错误漏洞,该漏洞源于当在虚拟服务器上配置了启用“AttackSignature False Positive Mode”的安全策略时,未披露的请求可能导致bd进程终止。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.f5.com/csp/article/K47204506
二、漏洞平台推送情况
2022年10月漏洞平台推送漏洞48742个。
表7 2022年10月漏洞平台推送情况表
序号
漏洞平台
漏洞总量
1
漏洞盒子
4373
2
补天平台
40661
3
360漏洞云
3708
推送总计
48742
三、接报漏洞情况
2022年10月接报漏洞2544个,其中信息技术产品漏洞(通用型漏洞)705个,网络信息系统漏洞(事件型漏洞)1839个。
表82022年10月接报漏洞情况表
序号
报送单位
漏洞数量
1
内蒙古奥创科技有限公司
638
2
北京山石网科信息技术有限公司
325
3
西安四叶草信息技术有限公司
316
4
远江盛邦(北京)网络安全科技股份有限公司
132
5
北京启明星辰信息安全技术有限公司
131
6
内蒙古中叶信息技术有限责任公司
116
7
杭州安恒信息技术股份有限公司
97
8
北京华云安信息技术有限公司
84
9
杭州海康威视数字技术股份有限公司
63
10
深圳开源互联网安全技术有限公司
47
11
山东新潮信息技术有限公司
43
12
北京国舜科技股份有限公司
34
13
河南听潮盛世信息技术有限公司
30
14
中国电信股份有限公司网络安全产品运营中心
27
15
中电信数智科技有限公司
26
16
个人
23
17
杭州迪普科技股份有限公司
22
18
山东泽鹿安全技术有限公司
21
19
上海上讯信息技术股份有限公司
20
20
北京安天网络安全技术有限公司
20
21
广州锦行网络科技有限公司
20
22
星云博创科技有限公司
20
23
北京长亭科技有限公司
18
24
中兴通讯股份有限公司
18
25
长扬科技(北京)股份有限公司
17
26
苏州棱镜七彩信息科技有限公司
15
27
天津市兴先道科技有限公司
12
28
北京安帝科技有限公司
12
29
山东华软金盾软件股份有限公司
11
30
北京墨云科技有限公司
10
31
浪潮电子信息产业股份有限公司
10
32
北京华顺信安信息技术有限公司
10
33
北京智游网安科技有限公司
10
34
深信服科技股份有限公司
8
35
北京微步在线科技有限公司
7
36
西安交大捷普网络科技有限公司
6
37
北京数字观星科技有限公司
6
38
奇安信网神信息技术(北京)股份有限公司
6
39
上海斗象信息科技有限公司
6
40
北京雪诺科技有限公司
6
41
北京优炫软件股份有限公司
6
42
上海安识网络科技有限公司
6
43
上海银基信息安全技术股份有限公司
5
44
北京六方云信息技术有限公司
5
45
北京安普诺信息技术有限公司
5
46
内蒙古信元网络安全技术股份有限公司
5
47
博智安全科技股份有限公司
5
48
南京禾盾信息科技有限公司
4
49
广州竞远安全技术股份有限公司
4
50
北京天融信网络安全技术有限公司
4
51
南京众智维信息科技有限公司
4
52
北京江南天安科技有限公司
4
53
北京时代新威信息技术有限公司
3
54
北方实验室(沈阳)股份有限公司
3
55
新华三技术有限公司
3
56
长春嘉诚信息技术股份有限公司
3
57
深圳融安网络科技有限公司
2
58
北京安盟信息技术股份有限公司
2
59
杭州默安科技有限公司
2
60
北京京东尚科信息技术有限公司
2
61
武汉明嘉信技术有限公司
2
62
贵州泰若数字科技有限公司
2
63
北京永信至诚科技股份有限公司
2
64
北京奇虎科技有限公司
2
65
中资网络信息安全科技有限公司
2
66
天翼数智科技(北京)有限公司
1
67
连连数字科技股份有限公司
1
68
思而听(山东)网络科技有限公司
1
69
杭州美创科技有限公司
1
70
成方金融科技有限公司上海分公司
1
71
国网湖南省电力有限公司湘西供电分公司、国网新疆电力有限公司
1
72
华为技术有限公司
1
73
三六零数字安全科技集团有限公司
1
74
江苏派恩杰网络安全有限责任公司
1
75
浙江大华技术股份有限公司
1
76
中孚安全技术有限公司
1
77
杭州美创科技
1
78
墨菲未来科技(北京)有限公司
1
79
北京机沃科技有限公司
1
报送合计
2544
四、重大漏洞通报4.1Fortinet FortiOS安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于FortinetFortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684)情况的报送。成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。FortinetFortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。
. 漏洞介绍
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS存在安全漏洞,该漏洞允许未经身份验证的攻击者获得对管理界面的访问权限,并通过特制的HTTP或HTTPS请求执行任意操作,从而最终控制目标系统。
. 危害影响
成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。FortinetFortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。
. 修复建议
目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方补丁链接如下:
https://docs.fortinet.com/product/fortigate/7.2
4.2 微软多个安全漏洞的通报
近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞89个。包括Microsoft Azure Kubernetes 安全漏洞(CNNVD-202210-553、CVE-2022-37968)、Microsoft Exchange Server 安全漏洞(CNNVD-202208-2493、CVE-2022-21980)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
. 漏洞介绍
2022年10月11日,微软发布了2022年10月份安全更新,共89个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了MicrosoftWindows 和 Windows 组件、MicrosoftWindows DHCP Client、Microsoft Windows Kernel、MicrosoftWindows Print Spooler Components、Microsoft Word、MicrosoftWindows Perception Simulation Service等。CNNVD对其危害等级进行了评价,其中超危漏洞1个,高危漏洞66个,中危漏洞20个,低危漏洞2个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问
https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。
. 漏洞详情
此次更新共包括84个新增漏洞的补丁程序,其中超危漏洞1个,高危漏洞63个,中危漏洞18个,低危漏洞2个。
序号
漏洞名称
CNNVD编号
CVE
编号
危害等级
官方链接
1
Microsoft Azure Kubernetes安全漏洞
CNNVD-202210-553
CVE-2022-37968
超危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37968
2
Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞
CNNVD-202210-567
CVE-2022-22035
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-22035
3
Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞
CNNVD-202210-564
CVE-2022-24504
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24504
4
Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞
CNNVD-202210-563
CVE-2022-30198
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30198
5
Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞
CNNVD-202210-562
CVE-2022-33634
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33634
6
Microsoft Graphics Component 安全漏洞
CNNVD-202210-561
CVE-2022-33635
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33635
7
Microsoft Windows TCP/IPcomponent 安全漏洞
CNNVD-202210-566
CVE-2022-33645
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33645
8
Microsoft Windows CryptoAPI 安全漏洞
CNNVD-202210-565
CVE-2022-34689
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34689
9
Microsoft Windows DWM CoreLibrary 安全漏洞
CNNVD-202210-556
CVE-2022-37970
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37970
10
Microsoft Windows Defender 安全漏洞
CNNVD-202210-552
CVE-2022-37971
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37971
11
Microsoft Windows LocalSession Manager (LSM) 安全漏洞
CNNVD-202210-551
CVE-2022-37973
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37973
12
Microsoft Windows 安全漏洞
CNNVD-202210-550
CVE-2022-37975
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37975
13
Microsoft Windows ActiveDirectory Certificate Services 安全漏洞
CNNVD-202210-549
CVE-2022-37976
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37976
14
Microsoft Windows ActiveDirectory Certificate Services 安全漏洞
CNNVD-202210-546
CVE-2022-37978
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37978
15
Microsoft Windows Hyper-V 安全漏洞
CNNVD-202210-544
CVE-2022-37979
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37979
16
Microsoft Windows DHCP Client安全漏洞
CNNVD-202210-543
CVE-2022-37980
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37980
17
Microsoft DWM Core Library 安全漏洞
CNNVD-202210-530
CVE-2022-37983
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37983
18
Microsoft Windows WLANService 安全漏洞
CNNVD-202210-520
CVE-2022-37984
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37984
19
Microsoft Graphics Component 安全漏洞
CNNVD-202210-508
CVE-2022-37986
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37986
20
Microsoft Client ServerRun-time Subsystem (CSRSS) 安全漏洞
CNNVD-202210-496
CVE-2022-37987
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37987
21
Microsoft Windows Kernel 安全漏洞
CNNVD-202210-493
CVE-2022-37988
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37988
22
Microsoft Client ServerRun-time Subsystem (CSRSS) 安全漏洞
CNNVD-202210-492
CVE-2022-37989
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37989
23
Microsoft Windows Kernel 安全漏洞
CNNVD-202210-491
CVE-2022-37990
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37990
24
Microsoft Windows Kernel 安全漏洞
CNNVD-202210-490
CVE-2022-37991
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37991
25
Microsoft Windows GroupPolicy Preference Client 安全漏洞
CNNVD-202210-489
CVE-2022-37993
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37993
26
Microsoft Windows GroupPolicy Preference Client 安全漏洞
CNNVD-202210-486
CVE-2022-37994
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37994
27
Microsoft Windows Kernel 安全漏洞
CNNVD-202210-487
CVE-2022-37995
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37995
28
Microsoft Graphics Component 安全漏洞
CNNVD-202210-482
CVE-2022-37997
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37997
29
Microsoft Windows LocalSession Manager (LSM) 安全漏洞
CNNVD-202210-481
CVE-2022-37998
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37998
30
Microsoft Windows GroupPolicy Preference Client 安全漏洞
CNNVD-202210-478
CVE-2022-37999
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37999
31
Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞
CNNVD-202210-477
CVE-2022-38000
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38000
32
Microsoft Windows ResilientFile System (ReFS) 安全漏洞
CNNVD-202210-475
CVE-2022-38003
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38003
33
Microsoft Windows LocalSecurity Authority (LSA) 安全漏洞
CNNVD-202210-476
CVE-2022-38016
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38016
34
Microsoft Windows ConnectedUser Experiences and Telemetry 安全漏洞
CNNVD-202210-470
CVE-2022-38021
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38021
35
Microsoft Windows Storage 安全漏洞
CNNVD-202210-463
CVE-2022-38027
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38027
36
Microsoft Windows PrintSpooler Components 安全漏洞
CNNVD-202210-456
CVE-2022-38028
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38028
37
Microsoft Windows ALPC 安全漏洞
CNNVD-202210-453
CVE-2022-38029
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38029
38
Microsoft OLE DB Provider forSQL Server 安全漏洞
CNNVD-202210-455
CVE-2022-38031
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38031
39
Microsoft Windows InternetKey Exchange (IKE) Protocol 安全漏洞
CNNVD-202210-443
CVE-2022-38036
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38036
40
Microsoft Windows Kernel 安全漏洞
CNNVD-202210-442
CVE-2022-38037
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38037
41
Microsoft Windows Kernel 安全漏洞
CNNVD-202210-445
CVE-2022-38038
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38038
42
Microsoft Windows Kernel 安全漏洞
CNNVD-202210-435
CVE-2022-38039
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38039
43
Microsoft ODBC Driver 安全漏洞
CNNVD-202210-600
CVE-2022-38040
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38040
44
Microsoft Windows SecureChannel 安全漏洞
CNNVD-202210-599
CVE-2022-38041
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38041
45
Microsoft Windows ActiveDirectory 安全漏洞
CNNVD-202210-594
CVE-2022-38042
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38042
46
Microsoft Windows CD-ROMDriver 安全漏洞
CNNVD-202210-432
CVE-2022-38044
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38044
47
Microsoft Windows 安全漏洞
CNNVD-202210-426
CVE-2022-38045
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38045
48
Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞
CNNVD-202210-428
CVE-2022-38047
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38047
49
Microsoft Office 安全漏洞
CNNVD-202210-406
CVE-2022-38048
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38048
50
Microsoft Office 安全漏洞
CNNVD-202210-405
CVE-2022-38049
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38049
51
Microsoft Windows Win32K 安全漏洞
CNNVD-202210-423
CVE-2022-38050
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38050
52
Microsoft Graphics Component 安全漏洞
CNNVD-202210-429
CVE-2022-38051
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38051
53
Microsoft SharePoint 安全漏洞
CNNVD-202210-417
CVE-2022-38053
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38053
54
Microsoft Word 安全漏洞
CNNVD-202210-404
CVE-2022-41031
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41031
55
Microsoft Visual Studio 安全漏洞
CNNVD-202210-541
CVE-2022-41032
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41032
56
Microsoft Windows 安全漏洞
CNNVD-202210-419
CVE-2022-41033
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41033
57
Microsoft Visual Studio Code 安全漏洞
CNNVD-202210-538
CVE-2022-41034
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41034
58
Microsoft SharePoint 安全漏洞
CNNVD-202210-431
CVE-2022-41036
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41036
59
Microsoft SharePoint 安全漏洞
CNNVD-202210-416
CVE-2022-41037
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41037
60
Microsoft SharePoint 安全漏洞
CNNVD-202210-411
CVE-2022-41038
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41038
61
Microsoft Visual Studio Code 安全漏洞
CNNVD-202210-540
CVE-2022-41042
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41042
62
Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞
CNNVD-202210-410
CVE-2022-41081
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41081
63
Microsoft Visual Studio Code 安全漏洞
CNNVD-202210-539
CVE-2022-41083
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41083
64
Microsoft Windows NTLM 安全漏洞
CNNVD-202210-560
CVE-2022-35770
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35770
65
Microsoft Service Fabric 安全漏洞
CNNVD-202210-557
CVE-2022-35829
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35829
66
Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞
CNNVD-202210-554
CVE-2022-37965
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37965
67
Microsoft Windows PerceptionSimulation Service 安全漏洞
CNNVD-202210-555
CVE-2022-37974
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37974
68
Microsoft Windows LocalSecurity Authority Subsystem Service (LSASS) 安全漏洞
CNNVD-202210-547
CVE-2022-37977
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37977
69
Microsoft Windows EventLogging Service 安全漏洞
CNNVD-202210-542
CVE-2022-37981
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37981
70
Microsoft Graphics Component 安全漏洞
CNNVD-202210-521
CVE-2022-37985
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37985
71
Microsoft Windows NTFS 安全漏洞
CNNVD-202210-488
CVE-2022-37996
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37996
72
Microsoft Office 安全漏洞
CNNVD-202210-408
CVE-2022-38001
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38001
73
Microsoft Azure 安全漏洞
CNNVD-202210-548
CVE-2022-38017
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38017
74
Microsoft Windows DistributedFile System (DFS) 安全漏洞
CNNVD-202210-466
CVE-2022-38025
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38025
75
Microsoft Windows DHCP Client安全漏洞
CNNVD-202210-465
CVE-2022-38026
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38026
76
Microsoft Windows USB SerialDriver 安全漏洞
CNNVD-202210-454
CVE-2022-38030
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38030
77
Microsoft Windows PortableDevice Enumerator Service 安全漏洞
CNNVD-202210-458
CVE-2022-38032
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38032
78
Microsoft Windows ServerRemotely Accessible Registry Keys 安全漏洞
CNNVD-202210-444
CVE-2022-38033
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38033
79
Microsoft Windows WorkstationService 安全漏洞
CNNVD-202210-447
CVE-2022-38034
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38034
80
Microsoft Windows SecuritySupport Provider Interface 安全漏洞
CNNVD-202210-595
CVE-2022-38043
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38043
81
Microsoft Windows 安全漏洞
CNNVD-202210-427
CVE-2022-38046
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38046
82
Microsoft Windows Kernel 安全漏洞
CNNVD-202210-469
CVE-2022-38022
低危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38022
83
Microsoft Office 安全漏洞
CNNVD-202210-403
CVE-2022-41043
低危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41043
84
Microsoft OLE DB Provider forSQL Server 安全漏洞
CNNVD-202210-537
CVE-2022-37982
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37982
此次更新共包括5个更新漏洞的补丁程序,其中高危漏洞3个,中危漏洞2个。
序号
漏洞名称
CNNVD
编号
CVE
编号
危害等级
官方链接
1
Microsoft Exchange Server 安全漏洞
CNNVD-202208-2489
CVE-2022-30134
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30134
2
Microsoft Exchange Server 安全漏洞
CNNVD-202208-2490
CVE-2022-24477
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24477
3
Microsoft Exchange Server 安全漏洞
CNNVD-202208-2491
CVE-2022-24516
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24516
4
Microsoft Exchange Server 安全漏洞
CNNVD-202208-2493
CVE-2022-21980
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-21980
5
Microsoft Exchange Server 安全漏洞
CNNVD-202208-2494
CVE-2022-21979
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-21979
. 修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
页:
[1]