Anonymous 发表于 2022-11-3 15:46:24

信息安全漏洞月报(2022年10月)

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2022年10月份采集安全漏洞共2001个。

本月接报漏洞51286个,其中信息技术产品漏洞(通用型漏洞)705个,网络信息系统漏洞(事件型漏洞)50581个,其中漏洞平台推送漏洞48742个。

重大漏洞通报

Fortinet FortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684):成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。Fortinet FortiOS多个版本均受此漏洞影响。目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

微软官方发布公告更新了Microsoft Azure Kubernetes 安全漏洞(CNNVD-202210-553、CVE-2022-37968)、MicrosoftExchange Server 安全漏洞(CNNVD-202208-2493、CVE-2022-21980)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2022年10月份新增安全漏洞共2001个,从厂商分布来看,WordPress基金会公司产品的漏洞数量最多,共发布86个;从漏洞类型来看,缓冲区错误类的漏洞占比最大,达到13.24%。本月新增漏洞中,超危漏洞319个、高危漏洞769个、中危漏洞871个、低危漏洞42个,相应修复率分别为61.44%、75.81%、76.00%以及95.24%。合计1481个漏洞已有修复补丁发布,本月整体修复率74.01%。

截至2022年10月31日,CNNVD采集漏洞总量已达195428个。
1.1 漏洞增长概况
2022年10月新增安全漏洞2001个,与上月(2133个)相比减少了6.19%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2115个。



图1 2022年5月至2022年10月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
    2022年10月厂商漏洞数量分布情况如表1所示,WordPress基金会公司漏洞达到86个,占本月漏洞总量的4.30%。

表12022年10月排名前十厂商新增安全漏洞统计表


序号

厂商名称

漏洞数量(个)

所占比例


1

WordPress基金会

86

4.30%


2

Microsoft

85

4.25%


3

Apple

82

4.10%


4

Oracle

80

4.00%


5

Google

76

3.80%


6

Linux基金会

57

2.85%


7

SAP

55

2.75%


8

Juniper Networks

37

1.85%


9

Autodesk

36

1.80%


10

Adobe

33

1.65%

1.2.2 漏洞产品分布
    2022年10月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共68个,WindowsServer 2022漏洞数量最多,共66个,占主流操作系统漏洞总量的9.13%,排名第一。

表22022年10月主流操作系统漏洞数量统计


序号

操作系统名称

漏洞数量


1

Windows Server 2022

66


2

Windows 11

66


3

Windows 10

64


4

Windows Server 2019

61


5

Linux Kernel

55


6

Windows Server 2016

54


7

Windows Server 2012

50


8

Windows Server 2012 R2

50


9

Windows 8.1

49


10

Windows Rt 8.1

49


11

Windows Server 2008

44


12

Windows Server 2008 R2

44


13

Windows 7

43


14

Apple iOS

25


15

Android

3

1.2.3 漏洞类型分布
    2022年10月份发布的漏洞类型分布如表3所示,其中缓冲区错误类漏洞所占比例最大,约为13.24%。

表32022年10月漏洞类型统计表


序号

漏洞类型

漏洞数量(个)

所占比例


1

缓冲区错误

265

13.24%


2

跨站脚本

168

8.40%


3

代码问题

145

7.25%


4

SQL注入

101

5.05%


5

资源管理错误

67

3.35%


6

输入验证错误

60

3.00%


7

路径遍历

39

1.95%


8

命令注入

31

1.55%


9

跨站请求伪造

30

1.50%


10

操作系统命令注入

29

1.45%


11

授权问题

27

1.35%


12

信息泄露

19

0.95%


13

访问控制错误

19

0.95%


14

竞争条件问题

17

0.85%


15

信任管理问题

14

0.70%


16

格式化字符串错误

14

0.70%


17

数据伪造问题

10

0.50%


18

代码注入

8

0.40%


19

注入

7

0.35%


20

加密问题

6

0.30%


21

日志信息泄露

4

0.20%


22

后置链接

3

0.15%


23

安全特征问题

3

0.15%


24

参数注入

2

0.10%


25

数字错误

1

0.05%


26

环境问题

1

0.05%


27

其他

911

45.53%

1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年10月漏洞危害等级分布如图2所示,其中超危漏洞319条,占本月漏洞总数的15.94%。



图22022年10月漏洞危害等级分布
1.3漏洞修复情1.3.1 整体修复情况
    2022年10月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到95.24%,超危漏洞修复率最低,比例为61.44%。

总体来看,本月整体修复率由上月的72.57%上升至本月的74.01%。



图32022年10月漏洞修复数量统计
1.3.2 厂商修复情况
    2022年10月漏洞修复情况按漏洞数量前十厂商进行统计,其中WordPress基金会、Microsoft、Apple等十个厂商共627条漏洞,占本月漏洞总数的31.33%,漏洞修复率为84.21%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Microsoft、Apple、Oracle、SAP、Autodesk、Adobe等公司本月漏洞修复率均为100%,共528条漏洞已全部修复。

表42022年10月厂商修复情况统计表


序号

厂商名称

漏洞数量(个)

修复数量

修复率


1

WordPress基金会

86

79

91.86%


2

Microsoft

85

85

100.00%


3

Apple

82

82

100.00%


4

Oracle

80

80

100.00%


5

Google

76

22

28.95%


6

Linux基金会

57

54

94.74%


7

SAP

55

55

100.00%


8

Juniper Networks

37

2

5.41%


9

Autodesk

36

36

100.00%


10

Adobe

33

33

100.00%

1.4 重要漏洞实例1.4.1 超危漏洞实例
    2022年10月超危漏洞共319个,其中重要漏洞实例如表5所示。

表52022年10月超危漏洞实例


漏洞类型

厂商

CNNVD编号

漏洞实例


SQL注入

B.C.Institute of Technology

CNNVD-202210-254

VeritasNetBackup
SQL注入漏洞
(CNNVD-202210-059)


CNNVD-202210-255


CNNVD-202210-256


CNNVD-202210-257


CNNVD-202210-258


CNNVD-202210-259


CNNVD-202210-261


CNNVD-202210-262


CNNVD-202210-263


CNNVD-202210-264


CNNVD-202210-266


CNNVD-202210-272


ChangingInformation Technology

CNNVD-202210-1181


Feathers

CNNVD-202210-2159


CNNVD-202210-2162


OpenCart

CNNVD-202210-731


SEMCMS

CNNVD-202210-2450


CNNVD-202210-2452


CNNVD-202210-2453


CNNVD-202210-2455


Socket.IO

CNNVD-202210-2161


Veritas

CNNVD-202210-059


CNNVD-202210-060


CNNVD-202210-100


seccome

CNNVD-202210-2436


个人开发者

CNNVD-202210-252


CNNVD-202210-260


CNNVD-202210-633


CNNVD-202210-865


CNNVD-202210-866


CNNVD-202210-867


CNNVD-202210-923


CNNVD-202210-934


CNNVD-202210-1091


CNNVD-202210-1212


CNNVD-202210-1500


CNNVD-202210-2408


CNNVD-202210-2449


CNNVD-202210-2465


CNNVD-202210-2466


CNNVD-202210-2479


CNNVD-202210-2483


CNNVD-202210-2485


中国北京九思协同软件

CNNVD-202210-718


台达电子

CNNVD-202210-2203


台达电子

CNNVD-202210-2204


代码问题

Apache基金会

CNNVD-202210-1211

ApacheDubbo
代码问题漏洞
(CNNVD-202210-1211)


ClipperCMS团队

CNNVD-202210-846


CNNVD-202210-848


DataEase

CNNVD-202210-1737


Democritus

CNNVD-202210-611


CNNVD-202210-612


CNNVD-202210-613


CNNVD-202210-614


CNNVD-202210-617


CNNVD-202210-618


CNNVD-202210-620


CNNVD-202210-621


CNNVD-202210-623


CNNVD-202210-624


CNNVD-202210-626


CNNVD-202210-628


CNNVD-202210-630


CNNVD-202210-631


CNNVD-202210-632


CNNVD-202210-634


CNNVD-202210-640


JuniperNetworks

CNNVD-202210-652


MediaLinks

CNNVD-202210-768


MelisPlatform

CNNVD-202210-767


Mitel

CNNVD-202210-2103


PHPOK

CNNVD-202210-1176


RedisLabs

CNNVD-202210-2429


VMware

CNNVD-202210-334


CNNVD-202210-2438


Veritas

CNNVD-202210-057


WordPress基金会

CNNVD-202210-2487


ZigorCorporación

CNNVD-202210-1168


dotPDN

CNNVD-202210-737


CNNVD-202210-738


个人开发者

CNNVD-202210-066


CNNVD-202210-847


CNNVD-202210-956


CNNVD-202210-1144


CNNVD-202210-1426


CNNVD-202210-1685


CNNVD-202210-1688


CNNVD-202210-1738


CNNVD-202210-2112


CNNVD-202210-2407


凯京科技

CNNVD-202210-1158


迅易科技

CNNVD-202210-1100


授权问题

Apache基金会

CNNVD-202210-706

ApacheShiro
授权问题漏洞
(CNNVD-202210-706)


Dell

CNNVD-202210-1605


Discourse

CNNVD-202210-2211


MediaLinks

CNNVD-202210-712


OXHOO

CNNVD-202210-1005


Secuever

CNNVD-202210-1134


个人开发者

CNNVD-202210-244


CNNVD-202210-1733


立端

CNNVD-202210-1691


腾达

CNNVD-202210-1506


操作系统命令注入

Abode

CNNVD-202210-1467

FortiTester
操作系统命令注入漏洞
(CNNVD-202210-1200)


CNNVD-202210-1468


CNNVD-202210-1507


CNNVD-202210-1509


CNNVD-202210-1516


CNNVD-202210-2087


CNNVD-202210-2088


CNNVD-202210-2089


CNNVD-202210-2090


CNNVD-202210-2091


CNNVD-202210-2092


CNNVD-202210-2093


CNNVD-202210-2094


FortiTester

CNNVD-202210-1200


CNNVD-202210-1201


CNNVD-202210-1202


Robustel

CNNVD-202210-1030


个人开发者

CNNVD-202210-1735


缓冲区错误

Accusoft

CNNVD-202210-2397

OmronCX-Programmer
缓冲区错误漏洞
(CNNVD-202210-127)


Adobe

CNNVD-202210-695


CNNVD-202210-696


CNNVD-202210-700


CNNVD-202210-703


Facebook

CNNVD-202210-497


GNU基金会

CNNVD-202210-1689


MikroTik

CNNVD-202210-1034


Omron

CNNVD-202210-127


CNNVD-202210-128


CNNVD-202210-129


Qualcomm

CNNVD-202210-1340


Yokogawa

CNNVD-202210-1325


个人开发者

CNNVD-202210-003


CNNVD-202210-1594


CNNVD-202210-2356


CNNVD-202210-2416


华为

CNNVD-202210-148


CNNVD-202210-168


CNNVD-202210-169


CNNVD-202210-170


CNNVD-202210-175


友讯

CNNVD-202210-2174


CNNVD-202210-2176


CNNVD-202210-2177


CNNVD-202210-2178


CNNVD-202210-2185


吉翁电子

CNNVD-202210-187


CNNVD-202210-192


宏碁

CNNVD-202210-1346


研华

CNNVD-202210-2398


CNNVD-202210-2399


立端

CNNVD-202210-1690


CNNVD-202210-1692


CNNVD-202210-1694


CNNVD-202210-1695


CNNVD-202210-1698


群晖科技

CNNVD-202210-1474


CNNVD-202210-1475


腾达

CNNVD-202210-1065


CNNVD-202210-1066


CNNVD-202210-1068


CNNVD-202210-1090


CNNVD-202210-1092


CNNVD-202210-1093


CNNVD-202210-1095


CNNVD-202210-1096


CNNVD-202210-1099


CNNVD-202210-1193


CNNVD-202210-1412


CNNVD-202210-1413


CNNVD-202210-1414


CNNVD-202210-1415


CNNVD-202210-1416


CNNVD-202210-1418


CNNVD-202210-2395


访问控制错误

Abode

CNNVD-202210-1520

AbodeIota
访问控制错误漏洞
(CNNVD-202210-1520)


DAIKIN

CNNVD-202210-603


Fortinet

CNNVD-202210-347


HaasAutomation

CNNVD-202210-2119


个人开发者

CNNVD-202210-843


CNNVD-202210-1455


CNNVD-202210-1479


CNNVD-202210-2166


台达电子

CNNVD-202210-2098


CNNVD-202210-2100


群晖科技

CNNVD-202210-2097


资源管理错误

Exim

CNNVD-202210-1525

Linuxkernel
资源管理错误漏洞
(CNNVD-202210-1609)


Linux基金会

CNNVD-202210-1609


Nginx

CNNVD-202210-2498


curl

CNNVD-202210-2217


华为

CNNVD-202210-171


输入验证错误

Facebook

CNNVD-202210-495

WordPress
输入验证错误漏洞
(CNNVD-202210-1136)


Google

CNNVD-202210-014


CNNVD-202210-016


WordPress基金会

CNNVD-202210-1136


XKCP

CNNVD-202210-1541


1. VeritasNetBackup SQL注入漏洞(CNNVD-202210-059)

    Veritas NetBackup是美国Veritas公司的一个应用于为企业环境的提供备份、恢复功能的存储服务。该软件支持对勒索软件的检测和对元数据、虚拟环境等环境数据的备份保护。

    Veritas NetBackup10.0 版本及之前版本存在SQL注入漏洞。目前尚无此漏洞的相关信息,请随时关注CNNVD或厂商公告。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.veritas.com/content/support/en_US/security/VTS22-011#H1

2. ApacheDubbo 代码问题漏洞(CNNVD-202210-1211)

    Apache Dubbo是美国阿帕奇(Apache)基金会的一款基于Java的轻量级RPC(远程过程调用)框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。

    Apache dubbohessian-lite 3.2.12版本及之前版本存在代码问题漏洞。攻击者利用该漏洞执行任意代码。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

3. ApacheShiro 授权问题漏洞(CNNVD-202210-706)

    Apache Shiro是美国阿帕奇(Apache)基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

    Apache Shiro 1.10.0之前版本存在授权问题漏洞,该漏洞源于攻击者通过RequestDispatcher转发或包含时可以绕过其身份认证。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

4. FortiTester操作系统命令注入漏洞(CNNVD-202210-1200)

    FortiTester是FortiTester公司的一款基于 Fortinet 专业的网络流量测试工具。

    FortiTester 2.3.0 到 3.9.1、4.0.0 到 4.2.0、7.0.0 到 7.1.0版本存在安全漏洞,该漏洞源于SSH 登录组件中使用的特殊元素的不适当中和,攻击者利用该漏洞可以在底层 shell 中执行任意命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://fortiguard.com/psirt/FG-IR-22-237

5. OmronCX-Programmer 缓冲区错误漏洞(CNNVD-202210-127)

    Omron CX-Programmer是日本欧姆龙(Omron)公司的一款PLC(可编程逻辑控制器)编程软件。

    Omron CX-Programmer9.78及以前版本存在缓冲区错误漏洞,该漏洞源于攻击者可以通过越界写实现任意代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.ia.omron.com/product/tool/26/cxone/e4_doc.html?_ga=2.122882383.558156545.1661312515-1562293325.1567412774#cx_programmer

6. Abode Iota访问控制错误漏洞(CNNVD-202210-1520)

    Abode Iota是Abode公司的一个可靠的 Diy 家庭安全系统。

    Abode Iota 6.9X 和 6.9Z 版本存在访问控制错误漏洞,该漏洞源于GHOME 控制功能中存在身份验证绕过,攻击者利用该漏洞可以发送恶意 XML 有效负载执行任意命令。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
    https://goabode.com/product/iota-security-kit

7. Linuxkernel 资源管理错误漏洞(CNNVD-202210-1609)

    Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

    Linux kernel 存在资源管理错误漏洞,该漏洞源于内存释放后重用。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.kernel.org/pub/scm/linux/kernel/git/bpf/bpf-next.git/commit/?id=d325dc6eb763c10f591c239550b8c7e5466a5d09

8. WordPress 输入验证错误漏洞(CNNVD-202210-1136)

    WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。

    WordPress 5.1版本存在输入验证错误漏洞,该漏洞源于“X-Forwarded-For”是一个HTTP头,用来携带客户端的原始IP地址,由于这些标头很可能由客户端添加到请求中,因此如果系统/设备使用在X-Forwarded-For 标头处减速的 IP 地址而不是原始 IP,则可能会遇到各种问题,如果源自这些字段的数据受到应用程序开发人员的信任并得到处理,则任何源自 IP 地址记录的授权检查都可能被操纵。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
    https://wordpress.org/
1.4.2 高危漏洞实例
    2022年10月高危漏洞共769个,其中重要漏洞实例如表6所示。

表62022年10月高危漏洞实例


漏洞类型

厂商

CNNVD编号

漏洞实例


SQL注入

MayuriK.

CNNVD-202210-878

RockwellAutomation Factory Talk VantagePoint
SQL注入漏洞
(CNNVD-202210-249)


ResIOT

CNNVD-202210-855


RockwellAutomation

CNNVD-202210-249


WordPress基金会

CNNVD-202210-1084


CNNVD-202210-1108


CNNVD-202210-1129


CNNVD-202210-1716


CNNVD-202210-1717


CNNVD-202210-1718


CNNVD-202210-1721


CNNVD-202210-2477


CNNVD-202210-2553


ZKTeco

CNNVD-202210-004


个人开发者

CNNVD-202210-191


CNNVD-202210-193


CNNVD-202210-201


CNNVD-202210-214


CNNVD-202210-215


CNNVD-202210-237


CNNVD-202210-306


CNNVD-202210-308


CNNVD-202210-310


CNNVD-202210-311


CNNVD-202210-314


CNNVD-202210-315


CNNVD-202210-318


CNNVD-202210-574


CNNVD-202210-606


CNNVD-202210-608


CNNVD-202210-610


CNNVD-202210-793


CNNVD-202210-880


CNNVD-202210-883


CNNVD-202210-937


CNNVD-202210-1007


CNNVD-202210-1101


CNNVD-202210-1152


CNNVD-202210-1324


CNNVD-202210-2206


CNNVD-202210-2445


CNNVD-202210-2451


CNNVD-202210-2478


CNNVD-202210-2480


CNNVD-202210-2481


CNNVD-202210-2482


CNNVD-202210-2486


台达电子

CNNVD-202210-2146


CNNVD-202210-2160


CNNVD-202210-2391


代码问题

Adobe

CNNVD-202210-705

GitHubEnterprise Server
代码问题漏洞
(CNNVD-202210-1366)


CNNVD-202210-733


Apache基金会

CNNVD-202210-253


CNNVD-202210-1707


CNNVD-202210-1712


CNNVD-202210-2173


Bigcommerec

CNNVD-202210-638


CERTCoordination Center

CNNVD-202210-2172


Chamilo协会

CNNVD-202210-1145


Dell

CNNVD-202210-750


CNNVD-202210-751


EVE-NG

CNNVD-202210-1495


Emlog

CNNVD-202210-1556


F5

CNNVD-202210-1452


FasterXML

CNNVD-202210-006


CNNVD-202210-007


Github

CNNVD-202210-1366


ISC

CNNVD-202210-133


Jenkins

CNNVD-202210-1373


CNNVD-202210-1387


JuniperNetworks

CNNVD-202210-658


CNNVD-202210-661


CNNVD-202210-663


CNNVD-202210-670


Linux基金会

CNNVD-202210-1526


LitespeedTechnologie

CNNVD-202210-2406


Mitel

CNNVD-202210-2111


OpenSSL团队

CNNVD-202210-400


Openjs基金会

CNNVD-202210-374


Panini

CNNVD-202210-348


SolarWinds

CNNVD-202210-1514


CNNVD-202210-1519


CNNVD-202210-1521


Sony

CNNVD-202210-615


Veritas

CNNVD-202210-070


WordPress基金会

CNNVD-202210-097


CNNVD-202210-1714


个人开发者

CNNVD-202210-309


CNNVD-202210-313


CNNVD-202210-316


CNNVD-202210-353


CNNVD-202210-571


CNNVD-202210-575


CNNVD-202210-625


CNNVD-202210-849


CNNVD-202210-851


CNNVD-202210-886


CNNVD-202210-889


CNNVD-202210-1008


CNNVD-202210-1072


CNNVD-202210-1155


CNNVD-202210-1198


CNNVD-202210-1203


CNNVD-202210-1486


CNNVD-202210-1493


CNNVD-202210-2409


CNNVD-202210-2410


CNNVD-202210-2437


CNNVD-202210-2484


卓卓网络

CNNVD-202210-055


CNNVD-202210-605


字节跳动

CNNVD-202210-1184


联发科

CNNVD-202210-011


CNNVD-202210-012


授权问题

Boodskap

CNNVD-202210-857

RockwellAutomation FactoryTalk Alarm and Events Server
授权问题漏洞
(CNNVD-202210-2369)


HEIDENHAIN

CNNVD-202210-2121


Perth

CNNVD-202210-739


RockwellAutomation

CNNVD-202210-2369


Siemens

CNNVD-202210-501


Wire

CNNVD-202210-1185


个人开发者

CNNVD-202210-1345


开放原子开源基金会

CNNVD-202210-916


操作系统命令注入

Abode

CNNVD-202210-1501

FortinetFortiOS
操作系统命令注入漏洞
(CNNVD-202210-361)


CNNVD-202210-1523


Dell

CNNVD-202210-529


FortiTester

CNNVD-202210-1206


Fortinet

CNNVD-202210-361


GL.iNet

CNNVD-202210-2386


Robustel

CNNVD-202210-1027


Siemens

CNNVD-202210-509


Webmin

CNNVD-202210-2084


个人开发者

CNNVD-202210-1147


缓冲区错误

Adobe

CNNVD-202210-677

Linuxkernel
缓冲区错误漏洞
(CNNVD-202210-845)


CNNVD-202210-679


CNNVD-202210-691


CNNVD-202210-692


CNNVD-202210-1321


Altair

CNNVD-202210-629


Autodesk

CNNVD-202210-064


CNNVD-202210-067


CNNVD-202210-069


CNNVD-202210-073


CNNVD-202210-074


CNNVD-202210-075


CNNVD-202210-086


CNNVD-202210-322


CNNVD-202210-323


CNNVD-202210-325


CNNVD-202210-326


CNNVD-202210-939


CNNVD-202210-940


CNNVD-202210-941


CNNVD-202210-942


CNNVD-202210-943


CNNVD-202210-948


CNNVD-202210-1564


CNNVD-202210-1567


CNNVD-202210-1568


CNNVD-202210-1571


CNNVD-202210-1572


CNNVD-202210-1573


CNNVD-202210-1574


CNNVD-202210-1575


CNNVD-202210-1576


CNNVD-202210-1577


CNNVD-202210-1578


CNNVD-202210-1580


CNNVD-202210-1582


CNNVD-202210-1596


BentleySystems

CNNVD-202210-781


CNNVD-202210-782


CNNVD-202210-783


Dell

CNNVD-202210-753


F5

CNNVD-202210-1409


CNNVD-202210-1419


CNNVD-202210-1451


Fortinet

CNNVD-202210-376


FreeRDP团队

CNNVD-202210-766


GPAC

CNNVD-202210-1352


CNNVD-202210-1354


Git

CNNVD-202210-1260


Google

CNNVD-202210-010


CNNVD-202210-015


CNNVD-202210-022


CNNVD-202210-041


CNNVD-202210-043


CNNVD-202210-045


CNNVD-202210-101


CNNVD-202210-106


HornerAutomation

CNNVD-202210-119


CNNVD-202210-120


CNNVD-202210-121


JuniperNetworks

CNNVD-202210-672


Linux基金会

CNNVD-202210-845


CNNVD-202210-1508


CNNVD-202210-2151


Nginx

CNNVD-202210-2496


Qualcomm

CNNVD-202210-1339


SAMSUNG

CNNVD-202210-295


SAP

CNNVD-202210-409


CNNVD-202210-412


CNNVD-202210-413


CNNVD-202210-418


CNNVD-202210-420


CNNVD-202210-421


CNNVD-202210-424


CNNVD-202210-430


CNNVD-202210-433


CNNVD-202210-434


CNNVD-202210-436


CNNVD-202210-438


CNNVD-202210-439


CNNVD-202210-448


CNNVD-202210-452


CNNVD-202210-457


CNNVD-202210-460


CNNVD-202210-462


CNNVD-202210-464


CNNVD-202210-468


CNNVD-202210-471


CNNVD-202210-472


CNNVD-202210-503


CNNVD-202210-579


CNNVD-202210-580


CNNVD-202210-582


CNNVD-202210-583


CNNVD-202210-584


CNNVD-202210-585


CNNVD-202210-587


CNNVD-202210-588


CNNVD-202210-593


Siemens

CNNVD-202210-499


CNNVD-202210-516


Softing

CNNVD-202210-1515


Softmotions

CNNVD-202210-1611


TrendMicro

CNNVD-202210-365


个人开发者

CNNVD-202210-077


CNNVD-202210-078


CNNVD-202210-087


CNNVD-202210-1436


CNNVD-202210-2180


CNNVD-202210-2184


CNNVD-202210-2190


CNNVD-202210-2191


CNNVD-202210-2358


CNNVD-202210-2360


华为

CNNVD-202210-147


CNNVD-202210-149


CNNVD-202210-172


CNNVD-202210-176


CNNVD-202210-179


CNNVD-202210-181


CNNVD-202210-184


CNNVD-202210-185


华硕

CNNVD-202210-245


吉翁电子

CNNVD-202210-186


CNNVD-202210-188


CNNVD-202210-190


CNNVD-202210-194


CNNVD-202210-195


CNNVD-202210-197


CNNVD-202210-199


CNNVD-202210-205


群晖科技

CNNVD-202210-1470


腾达

CNNVD-202210-723


CNNVD-202210-725


CNNVD-202210-727


CNNVD-202210-1194


CNNVD-202210-2385


CNNVD-202210-2387


访问控制错误

InHandNetworks

CNNVD-202210-2400

TrendMicro Apex One
访问控制错误漏洞
(CNNVD-202210-362)


TrendMicro

CNNVD-202210-362


free5GC

CNNVD-202210-1736


华硕

CNNVD-202210-1342


资源管理错误

ARM

CNNVD-202210-2102

ARMMali GPU Kernel Driver
资源管理错误漏洞
(CNNVD-202210-2102)


Adobe

CNNVD-202210-680


CNNVD-202210-686


CNNVD-202210-687


CNNVD-202210-688


CNNVD-202210-689


CNNVD-202210-690


Autodesk

CNNVD-202210-320


CNNVD-202210-946


Containous

CNNVD-202210-522


F5

CNNVD-202210-1390


CNNVD-202210-1453


GitLab

CNNVD-202210-1121


CNNVD-202210-1585


Google

CNNVD-202210-013


CNNVD-202210-024


CNNVD-202210-026


CNNVD-202210-047


CNNVD-202210-107


Linux基金会

CNNVD-202210-794


CNNVD-202210-803


CNNVD-202210-1052


CNNVD-202210-1106


CNNVD-202210-1107


CNNVD-202210-1139


CNNVD-202210-1140


CNNVD-202210-1538


CNNVD-202210-1548


CNNVD-202210-1549


CNNVD-202210-1563


Microsoft

CNNVD-202210-551


CNNVD-202210-566


Qualcomm

CNNVD-202210-1337


SAMSUNG

CNNVD-202210-294


Siemens

CNNVD-202210-513


Softing

CNNVD-202210-1512


Vim

CNNVD-202210-2209


pyup.io

CNNVD-202210-212


webpack

CNNVD-202210-558


个人开发者

CNNVD-202210-864


CNNVD-202210-1148


CNNVD-202210-1676


CNNVD-202210-2188


CNNVD-202210-2200


输入验证错误

Abode

CNNVD-202210-1485

F5BIG-IP
输入验证错误漏洞
(CNNVD-202210-1393)


Adobe

CNNVD-202210-732


CNNVD-202210-1322


CNNVD-202210-1504


Altair

CNNVD-202210-607


Cisco

CNNVD-202210-1457


Dell

CNNVD-202210-533


CNNVD-202210-535


CNNVD-202210-754


CNNVD-202210-760


CNNVD-202210-761


CNNVD-202210-764


F5

CNNVD-202210-1393


Google

CNNVD-202210-056


CNNVD-202210-103


JuniperNetworks

CNNVD-202210-648


CNNVD-202210-664


CNNVD-202210-668


CNNVD-202210-674


CNNVD-202210-678


Lanner

CNNVD-202210-1702


LiteSpeedTechnologies

CNNVD-202210-2404


SAP

CNNVD-202210-415


Siemens

CNNVD-202210-395


CNNVD-202210-446


CNNVD-202210-514


个人开发者

CNNVD-202210-1680


华为

CNNVD-202210-146


联发科

CNNVD-202210-339


1. RockwellAutomation Factory Talk VantagePoint SQL注入漏洞(CNNVD-202210-249)

    Rockwell AutomationFactory Talk VantagePoint是美国罗克韦尔(Rockwell Automation)公司的一个高级工业应用生态系统。通过提供开箱即用的支持 Web 的内容浏览和显示创建来实现生产力。

    Rockwell AutomationFactory Talk VantagePoint 存在SQL注入漏洞,该漏洞源于未正确验证用户向后端数据库检索信息时输入的SQL语句导致具有基本用户权限的用户可以在服务器上执行远程代码执行。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1137043

2. GitHubEnterprise Server 代码问题漏洞(CNNVD-202210-1366)

    GitHub EnterpriseServer是美国Github开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备,从而提供可扩展,易于管理的平台。

    GitHub EnterpriseServer 3.6之前版本存在安全漏洞。攻击者利用该漏洞通过服务器端请求伪造(SSRF)获得访问权限,从而能够控制反序列化的数据。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
    https://docs.github.com/en

3. RockwellAutomation FactoryTalk Alarm and Events Server 授权问题漏洞(CNNVD-202210-2369)

    Rockwell AutomationFactoryTalk Alarm and Events Server是美国罗克韦尔(RockwellAutomation)公司的提供了一种连接到 Rockwell 的FactoryTalk 服务的方法,以便从已配置的 A&E 服务器中过滤警报。

    Rockwell AutomationFactoryTalk Alarm and Events Server 存在安全漏洞。攻击者利用该漏洞可以访问敏感信息。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1136876

4. FortinetFortiOS 操作系统命令注入漏洞(CNNVD-202210-361)

   Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。

    Fortinet FortiOS存在安全漏洞,该漏洞源于使用的特殊元素的中和不当。攻击者利用该漏洞在链接的FortiSwitch上执行特权命令。以下产品及版本受到影响:FortinetFortiOS 6.0.0版本至6.0.14版本、6.2.0版本至6.2.10版本、6.4.0版本至6.4.8版本、7.0.0版本至7.0.3版本。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
    https://www.fortiguard.com/psirt/FG-IR-21-242

5. Linuxkernel 缓冲区错误漏洞(CNNVD-202210-845)

    Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

    Linux kernel 5.19.11及之前版本存在安全漏洞,该漏洞源于能够注入WLAN帧的攻击者可以在net/mac80211/scan.c的ieee80211_bss_info_update函数中造成缓冲区溢出。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.kernel.org/pub/scm/linux/kernel/git/wireless/wireless.git/commit/?id=aebe9f4639b13a1f4e9a6b42cdd2e38c617b442d

6. TrendMicro Apex One 访问控制错误漏洞(CNNVD-202210-362)

    Trend Micro Apex One是美国趋势科技(TrendMicro)公司的一款终端防护软件。

    Trend Micro Apex One2019 (on-prem)、SaaS版本存在安全漏洞,该漏洞源于 Apex One 源验证错误,攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
   https://success.trendmicro.com/solution/000291645

7. ARM MaliGPU Kernel Driver 资源管理错误漏洞(CNNVD-202210-2102)

    ARM Mali GPU KernelDriver是英国ARM公司的一个图形处理器单元的驱动程序。

    ARM Mali GPU KernelDriver 存在资源管理错误漏洞,该漏洞源于允许非特权用户进行不当的GPU处理操作,以获得对已释放内存的访问。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

8. F5 BIG-IP 输入验证错误漏洞(CNNVD-202210-1393)

    F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

    F5 BIG-IP 存在输入验证错误漏洞,该漏洞源于当在虚拟服务器上配置了启用“AttackSignature False Positive Mode”的安全策略时,未披露的请求可能导致bd进程终止。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
      https://support.f5.com/csp/article/K47204506
二、漏洞平台推送情况
    2022年10月漏洞平台推送漏洞48742个。

表7 2022年10月漏洞平台推送情况表


序号

漏洞平台

漏洞总量


1

漏洞盒子

4373


2

补天平台

40661


3

360漏洞云

3708


推送总计

48742

三、接报漏洞情况
    2022年10月接报漏洞2544个,其中信息技术产品漏洞(通用型漏洞)705个,网络信息系统漏洞(事件型漏洞)1839个。

表82022年10月接报漏洞情况表


序号

报送单位

漏洞数量


1            

内蒙古奥创科技有限公司

638


2            

北京山石网科信息技术有限公司

325


3            

西安四叶草信息技术有限公司

316


4            

远江盛邦(北京)网络安全科技股份有限公司

132


5            

北京启明星辰信息安全技术有限公司

131


6            

内蒙古中叶信息技术有限责任公司

116


7            

杭州安恒信息技术股份有限公司

97


8            

北京华云安信息技术有限公司

84


9            

杭州海康威视数字技术股份有限公司

63


10      

深圳开源互联网安全技术有限公司

47


11      

山东新潮信息技术有限公司

43


12      

北京国舜科技股份有限公司

34


13      

河南听潮盛世信息技术有限公司

30


14      

中国电信股份有限公司网络安全产品运营中心

27


15      

中电信数智科技有限公司

26


16      

个人

23


17      

杭州迪普科技股份有限公司

22


18      

山东泽鹿安全技术有限公司

21


19      

上海上讯信息技术股份有限公司

20


20      

北京安天网络安全技术有限公司

20


21      

广州锦行网络科技有限公司

20


22      

星云博创科技有限公司

20


23      

北京长亭科技有限公司

18


24      

中兴通讯股份有限公司

18


25      

长扬科技(北京)股份有限公司

17


26      

苏州棱镜七彩信息科技有限公司

15


27      

天津市兴先道科技有限公司

12


28      

北京安帝科技有限公司

12


29      

山东华软金盾软件股份有限公司

11


30      

北京墨云科技有限公司

10


31      

浪潮电子信息产业股份有限公司

10


32      

北京华顺信安信息技术有限公司

10


33      

北京智游网安科技有限公司

10


34      

深信服科技股份有限公司

8


35      

北京微步在线科技有限公司

7


36      

西安交大捷普网络科技有限公司

6


37      

北京数字观星科技有限公司

6


38      

奇安信网神信息技术(北京)股份有限公司

6


39      

上海斗象信息科技有限公司

6


40      

北京雪诺科技有限公司

6


41      

北京优炫软件股份有限公司

6


42      

上海安识网络科技有限公司

6


43      

上海银基信息安全技术股份有限公司

5


44      

北京六方云信息技术有限公司

5


45      

北京安普诺信息技术有限公司

5


46      

内蒙古信元网络安全技术股份有限公司

5


47      

博智安全科技股份有限公司

5


48      

南京禾盾信息科技有限公司

4


49      

广州竞远安全技术股份有限公司

4


50      

北京天融信网络安全技术有限公司

4


51      

南京众智维信息科技有限公司

4


52      

北京江南天安科技有限公司

4


53      

北京时代新威信息技术有限公司

3


54      

北方实验室(沈阳)股份有限公司

3


55      

新华三技术有限公司

3


56      

长春嘉诚信息技术股份有限公司

3


57      

深圳融安网络科技有限公司

2


58      

北京安盟信息技术股份有限公司

2


59      

杭州默安科技有限公司

2


60      

北京京东尚科信息技术有限公司

2


61      

武汉明嘉信技术有限公司

2


62      

贵州泰若数字科技有限公司

2


63      

北京永信至诚科技股份有限公司

2


64      

北京奇虎科技有限公司

2


65      

中资网络信息安全科技有限公司

2


66      

天翼数智科技(北京)有限公司

1


67      

连连数字科技股份有限公司

1


68      

思而听(山东)网络科技有限公司

1


69      

杭州美创科技有限公司

1


70      

成方金融科技有限公司上海分公司

1


71      

国网湖南省电力有限公司湘西供电分公司、国网新疆电力有限公司

1


72      

华为技术有限公司

1


73      

三六零数字安全科技集团有限公司

1


74      

江苏派恩杰网络安全有限责任公司

1


75      

浙江大华技术股份有限公司

1


76      

中孚安全技术有限公司

1


77      

杭州美创科技

1


78      

墨菲未来科技(北京)有限公司

1


79      

北京机沃科技有限公司

1


报送合计

2544

四、重大漏洞通报4.1Fortinet FortiOS安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于FortinetFortiOS 安全漏洞(CNNVD-202210-347、CVE-2022-40684)情况的报送。成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。FortinetFortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。

. 漏洞介绍

    Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS存在安全漏洞,该漏洞允许未经身份验证的攻击者获得对管理界面的访问权限,并通过特制的HTTP或HTTPS请求执行任意操作,从而最终控制目标系统。

. 危害影响

成功利用漏洞的攻击者,可在未经身份验证的情况下获得对管理界面的访问权限,从而最终控制目标系统。FortinetFortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。

. 修复建议

目前,Fortinet官方已发布升级补丁修复了该漏洞,建议用户及时确认产品版本,尽快采取修补措施。官方补丁链接如下:

    https://docs.fortinet.com/product/fortigate/7.2
4.2 微软多个安全漏洞的通报
近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞89个。包括Microsoft Azure Kubernetes 安全漏洞(CNNVD-202210-553、CVE-2022-37968)、Microsoft Exchange Server 安全漏洞(CNNVD-202208-2493、CVE-2022-21980)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

. 漏洞介绍

    2022年10月11日,微软发布了2022年10月份安全更新,共89个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了MicrosoftWindows 和 Windows 组件、MicrosoftWindows DHCP Client、Microsoft Windows Kernel、MicrosoftWindows Print Spooler Components、Microsoft Word、MicrosoftWindows Perception Simulation Service等。CNNVD对其危害等级进行了评价,其中超危漏洞1个,高危漏洞66个,中危漏洞20个,低危漏洞2个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问
https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

. 漏洞详情

此次更新共包括84个新增漏洞的补丁程序,其中超危漏洞1个,高危漏洞63个,中危漏洞18个,低危漏洞2个。


序号

漏洞名称

CNNVD编号

CVE
编号

危害等级

官方链接


1

Microsoft Azure Kubernetes安全漏洞

CNNVD-202210-553

CVE-2022-37968

超危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37968


2

Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-567

CVE-2022-22035

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-22035


3

Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-564

CVE-2022-24504

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24504


4

Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-563

CVE-2022-30198

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30198


5

Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-562

CVE-2022-33634

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33634


6

Microsoft Graphics Component 安全漏洞

CNNVD-202210-561

CVE-2022-33635

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33635


7

Microsoft Windows TCP/IPcomponent 安全漏洞

CNNVD-202210-566

CVE-2022-33645

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33645


8

Microsoft Windows CryptoAPI 安全漏洞

CNNVD-202210-565

CVE-2022-34689

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34689


9

Microsoft Windows DWM CoreLibrary 安全漏洞

CNNVD-202210-556

CVE-2022-37970

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37970


10

Microsoft Windows Defender 安全漏洞

CNNVD-202210-552

CVE-2022-37971

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37971


11

Microsoft Windows LocalSession Manager (LSM) 安全漏洞

CNNVD-202210-551

CVE-2022-37973

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37973


12

Microsoft Windows 安全漏洞

CNNVD-202210-550

CVE-2022-37975

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37975


13

Microsoft Windows ActiveDirectory Certificate Services 安全漏洞

CNNVD-202210-549

CVE-2022-37976

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37976


14

Microsoft Windows ActiveDirectory Certificate Services 安全漏洞

CNNVD-202210-546

CVE-2022-37978

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37978


15

Microsoft Windows Hyper-V 安全漏洞

CNNVD-202210-544

CVE-2022-37979

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37979


16

Microsoft Windows DHCP Client安全漏洞

CNNVD-202210-543

CVE-2022-37980

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37980


17

Microsoft DWM Core Library 安全漏洞

CNNVD-202210-530

CVE-2022-37983

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37983


18

Microsoft Windows WLANService 安全漏洞

CNNVD-202210-520

CVE-2022-37984

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37984


19

Microsoft Graphics Component 安全漏洞

CNNVD-202210-508

CVE-2022-37986

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37986


20

Microsoft Client ServerRun-time Subsystem (CSRSS) 安全漏洞

CNNVD-202210-496

CVE-2022-37987

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37987


21

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-493

CVE-2022-37988

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37988


22

Microsoft Client ServerRun-time Subsystem (CSRSS) 安全漏洞

CNNVD-202210-492

CVE-2022-37989

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37989


23

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-491

CVE-2022-37990

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37990


24

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-490

CVE-2022-37991

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37991


25

Microsoft Windows GroupPolicy Preference Client 安全漏洞

CNNVD-202210-489

CVE-2022-37993

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37993


26

Microsoft Windows GroupPolicy Preference Client 安全漏洞

CNNVD-202210-486

CVE-2022-37994

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37994


27

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-487

CVE-2022-37995

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37995


28

Microsoft Graphics Component 安全漏洞

CNNVD-202210-482

CVE-2022-37997

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37997


29

Microsoft Windows LocalSession Manager (LSM) 安全漏洞

CNNVD-202210-481

CVE-2022-37998

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37998


30

Microsoft Windows GroupPolicy Preference Client 安全漏洞

CNNVD-202210-478

CVE-2022-37999

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37999


31

Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-477

CVE-2022-38000

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38000


32

Microsoft Windows ResilientFile System (ReFS) 安全漏洞

CNNVD-202210-475

CVE-2022-38003

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38003


33

Microsoft Windows LocalSecurity Authority (LSA) 安全漏洞

CNNVD-202210-476

CVE-2022-38016

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38016


34

Microsoft Windows ConnectedUser Experiences and Telemetry 安全漏洞

CNNVD-202210-470

CVE-2022-38021

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38021


35

Microsoft Windows Storage 安全漏洞

CNNVD-202210-463

CVE-2022-38027

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38027


36

Microsoft Windows PrintSpooler Components 安全漏洞

CNNVD-202210-456

CVE-2022-38028

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38028


37

Microsoft Windows ALPC 安全漏洞

CNNVD-202210-453

CVE-2022-38029

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38029


38

Microsoft OLE DB Provider forSQL Server 安全漏洞

CNNVD-202210-455

CVE-2022-38031

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38031


39

Microsoft Windows InternetKey Exchange (IKE) Protocol 安全漏洞

CNNVD-202210-443

CVE-2022-38036

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38036


40

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-442

CVE-2022-38037

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38037


41

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-445

CVE-2022-38038

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38038


42

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-435

CVE-2022-38039

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38039


43

Microsoft ODBC Driver 安全漏洞

CNNVD-202210-600

CVE-2022-38040

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38040


44

Microsoft Windows SecureChannel 安全漏洞

CNNVD-202210-599

CVE-2022-38041

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38041


45

Microsoft Windows ActiveDirectory 安全漏洞

CNNVD-202210-594

CVE-2022-38042

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38042


46

Microsoft Windows CD-ROMDriver 安全漏洞

CNNVD-202210-432

CVE-2022-38044

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38044


47

Microsoft Windows 安全漏洞

CNNVD-202210-426

CVE-2022-38045

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38045


48

Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-428

CVE-2022-38047

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38047


49

Microsoft Office 安全漏洞

CNNVD-202210-406

CVE-2022-38048

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38048


50

Microsoft Office 安全漏洞

CNNVD-202210-405

CVE-2022-38049

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38049


51

Microsoft Windows Win32K 安全漏洞

CNNVD-202210-423

CVE-2022-38050

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38050


52

Microsoft Graphics Component 安全漏洞

CNNVD-202210-429

CVE-2022-38051

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38051


53

Microsoft SharePoint 安全漏洞

CNNVD-202210-417

CVE-2022-38053

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38053


54

Microsoft Word 安全漏洞

CNNVD-202210-404

CVE-2022-41031

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41031


55

Microsoft Visual Studio 安全漏洞

CNNVD-202210-541

CVE-2022-41032

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41032


56

Microsoft Windows 安全漏洞

CNNVD-202210-419

CVE-2022-41033

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41033


57

Microsoft Visual Studio Code 安全漏洞

CNNVD-202210-538

CVE-2022-41034

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41034


58

Microsoft SharePoint 安全漏洞

CNNVD-202210-431

CVE-2022-41036

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41036


59

Microsoft SharePoint 安全漏洞

CNNVD-202210-416

CVE-2022-41037

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41037


60

Microsoft SharePoint 安全漏洞

CNNVD-202210-411

CVE-2022-41038

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41038


61

Microsoft Visual Studio Code 安全漏洞

CNNVD-202210-540

CVE-2022-41042

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41042


62

Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-410

CVE-2022-41081

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41081


63

Microsoft Visual Studio Code 安全漏洞

CNNVD-202210-539

CVE-2022-41083

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41083


64

Microsoft Windows NTLM 安全漏洞

CNNVD-202210-560

CVE-2022-35770

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35770


65

Microsoft Service Fabric 安全漏洞

CNNVD-202210-557

CVE-2022-35829

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35829


66

Microsoft WindowsPoint-to-Point Tunneling Protocol 安全漏洞

CNNVD-202210-554

CVE-2022-37965

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37965


67

Microsoft Windows PerceptionSimulation Service 安全漏洞

CNNVD-202210-555

CVE-2022-37974

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37974


68

Microsoft Windows LocalSecurity Authority Subsystem Service (LSASS) 安全漏洞

CNNVD-202210-547

CVE-2022-37977

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37977


69

Microsoft Windows EventLogging Service 安全漏洞

CNNVD-202210-542

CVE-2022-37981

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37981


70

Microsoft Graphics Component 安全漏洞

CNNVD-202210-521

CVE-2022-37985

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37985


71

Microsoft Windows NTFS 安全漏洞

CNNVD-202210-488

CVE-2022-37996

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37996


72

Microsoft Office 安全漏洞

CNNVD-202210-408

CVE-2022-38001

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38001


73

Microsoft Azure 安全漏洞

CNNVD-202210-548

CVE-2022-38017

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38017


74

Microsoft Windows DistributedFile System (DFS) 安全漏洞

CNNVD-202210-466

CVE-2022-38025

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38025


75

Microsoft Windows DHCP Client安全漏洞

CNNVD-202210-465

CVE-2022-38026

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38026


76

Microsoft Windows USB SerialDriver 安全漏洞

CNNVD-202210-454

CVE-2022-38030

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38030


77

Microsoft Windows PortableDevice Enumerator Service 安全漏洞

CNNVD-202210-458

CVE-2022-38032

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38032


78

Microsoft Windows ServerRemotely Accessible Registry Keys 安全漏洞

CNNVD-202210-444

CVE-2022-38033

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38033


79

Microsoft Windows WorkstationService 安全漏洞

CNNVD-202210-447

CVE-2022-38034

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38034


80

Microsoft Windows SecuritySupport Provider Interface 安全漏洞

CNNVD-202210-595

CVE-2022-38043

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38043


81

Microsoft Windows 安全漏洞

CNNVD-202210-427

CVE-2022-38046

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38046


82

Microsoft Windows Kernel 安全漏洞

CNNVD-202210-469

CVE-2022-38022

低危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38022


83

Microsoft Office 安全漏洞

CNNVD-202210-403

CVE-2022-41043

低危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41043


84

Microsoft OLE DB Provider forSQL Server 安全漏洞

CNNVD-202210-537

CVE-2022-37982

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37982


此次更新共包括5个更新漏洞的补丁程序,其中高危漏洞3个,中危漏洞2个。


序号

漏洞名称

CNNVD
编号

CVE
编号

危害等级

官方链接


1

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2489

CVE-2022-30134

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30134


2

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2490

CVE-2022-24477

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24477


3

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2491

CVE-2022-24516

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24516


4

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2493

CVE-2022-21980

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-21980


5

Microsoft Exchange Server 安全漏洞

CNNVD-202208-2494

CVE-2022-21979

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-21979


. 修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

   https://msrc.microsoft.com/update-guide/en-us


页: [1]
查看完整版本: 信息安全漏洞月报(2022年10月)