Anonymous 发表于 2023-1-6 10:23:27

信息安全漏洞月报2022年12月

漏洞态势

根据国家信息安全漏洞库(CNNVD)统计,2022年12月份采集安全漏洞共2173个。

本月接报漏洞78539个,其中信息技术产品漏洞(通用型漏洞)619个,网络信息系统漏洞(事件型漏洞)77920个,其中漏洞平台推送漏洞74171个。

重大漏洞通报

Fortinet FortiOS 安全漏洞(CNNVD-202212-2946/CVE-2022-42475):成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS 7.2.0等多个版本均受此漏洞影响。目前,Fortinet官方已经发布了修复漏洞的升级版本,建议用户及时确认产品版本,尽快采取修补措施。

    微软官方发布公告更新了Microsoft Graphics Component安全漏洞(CNNVD-202212-3145/CVE-2022-26804)、Microsoft Graphics Component安全漏洞(CNNVD-202212-3123/CVE-2022-26805)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2022年12月份新增安全漏洞共2173个,从厂商分布来看,Google公司产品的漏洞数量最多,共发布220个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到16.11%。本月新增漏洞中,超危漏洞256个、高危漏洞762个、中危漏洞1101个、低危漏洞54个,相应修复率分别为69.92%、74.28%、84.29%以及96.30%。合计1725个漏洞已有修复补丁发布,本月整体修复率79.38%。

截至2022年12月31日,CNNVD采集漏洞总量已达199523个。
1.1 漏洞增长概况
   2022年12月新增安全漏洞2173个,与上月(1922个)相比增加了13.06%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2066个。



图1 2022年7月至2022年12月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
    2022年12月厂商漏洞数量分布情况如表1所示,Google公司漏洞达到220个,占本月漏洞总量的10.12%。

表12022年12月排名前十厂商新增安全漏洞统计表


序号

厂商名称

漏洞数量(个)

所占比例


1

Google

220

10.12%


2

WordPress基金会

148

6.81%


3

Microsoft

52

2.39%


4

Apple

49

2.25%


5

IBM

44

2.02%


6

Siemens

41

1.89%


7

Adobe

40

1.84%


8

NVIDIA

32

1.47%


9

Linux基金会

31

1.43%


10

Samsung

23

1.06%

1.2.2 漏洞产品分布
    2022年12月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共30个,Apple iOS漏洞数量最多,共45个,占主流操作系统漏洞总量的13.47%,排名第一。

表22022年12月主流操作系统漏洞数量统计


序号

操作系统名称

漏洞数量


1

Apple iOS

45


2

Linux Kernel

30


3

Windows 11

29


4

Windows 10

29


5

Windows Server 2022

26


6

Windows Server 2019

26


7

Windows Server 2016

21


8

Windows 8.1

21


9

Windows Server 2012

20


10

Windows Server 2012 R2

20


11

Windows Rt 8.1

18


12

Windows Server 2008

16


13

Windows 7

16


14

Windows Server 2008 R2

15


15

Android

2

1.2.3 漏洞类型分布
    2022年12月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为16.11%。

表32022年12月漏洞类型统计表


序号

漏洞类型

漏洞数量(个)

所占比例


1

跨站脚本

350

16.11%


2

缓冲区错误

248

11.41%


3

SQL注入

104

4.79%


4

代码问题

98

4.51%


5

输入验证错误

73

3.36%


6

路径遍历

58

2.67%


7

资源管理错误

58

2.67%


8

跨站请求伪造

46

2.12%


9

授权问题

43

1.98%


10

命令注入

31

1.43%


11

操作系统命令注入

24

1.10%


12

访问控制错误

20

0.92%


13

代码注入

16

0.74%


14

加密问题

16

0.74%


15

信息泄露

11

0.51%


16

竞争条件问题

11

0.51%


17

信任管理问题

10

0.46%


18

注入

10

0.46%


19

数据伪造问题

8

0.37%


20

日志信息泄露

6

0.28%


21

安全特征问题

3

0.14%


22

参数注入

3

0.14%


23

格式化字符串错误

2

0.09%


24

数字错误

1

0.05%


25

环境问题

1

0.05%


26

其他

922

42.43%

1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年12月漏洞危害等级分布如图2所示,其中超危漏洞256条,占本月漏洞总数的11.78%。



图22022年12月漏洞危害等级分布
1.3漏洞修复情1.3.1 整体修复情况
    2022年12月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到96.30%,超危漏洞修复率最低,比例为69.92%。

总体来看,本月整体修复率由上月的75.29%上升至本月的79.38%。



图32022年12月漏洞修复数量统计
1.3.2 厂商修复情况
    2022年12月漏洞修复情况按漏洞数量前十厂商进行统计,其中Google、WordPress基金会、Microsoft等十个厂商共680条漏洞,占本月漏洞总数的31.29%,漏洞修复率为90.29%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Microsoft、Siemens、Adobe、NVIDIA、Samsung等公司本月漏洞修复率均为100%,共614条漏洞已全部修复。

表4 2022年12月厂商修复情况统计表


序号

厂商名称

漏洞数量(个)

修复数量

修复率


1

Google

220

218

99.09%


2

WordPress基金会

148

136

91.89%


3

Microsoft

52

52

100.00%


4

Apple

49

7

14.29%


5

IBM

44

39

88.64%


6

Siemens

41

41

100.00%


7

Adobe

40

40

100.00%


8

NVIDIA

32

32

100.00%


9

Linux基金会

31

26

83.87%


10

Samsung

23

23

100.00%

1.4 重要漏洞实例1.4.1 超危漏洞实例
    2022年12月超危漏洞共256个,其中重要漏洞实例如表5所示。

表52022年12月超危漏洞实例


漏洞类型

厂商

CNNVD编号

漏洞实例


SQL注入

Laravel

CNNVD-202212-3547

WordPressplugin Dokan
SQL注入漏洞
(CNNVD-202212-2927)


PlanetEnterprises

CNNVD-202212-2795


Rukovoditel

CNNVD-202212-1937


WordPress基金会

CNNVD-202212-2432


CNNVD-202212-2927


CNNVD-202212-3347


CNNVD-202212-3535


个人开发者

CNNVD-202212-1812


CNNVD-202212-1866


CNNVD-202212-1933


CNNVD-202212-1934


CNNVD-202212-2186


CNNVD-202212-2187


CNNVD-202212-2628


CNNVD-202212-2817


CNNVD-202212-3140


CNNVD-202212-3278


CNNVD-202212-3279


CNNVD-202212-3284


CNNVD-202212-3438


CNNVD-202212-3447


CNNVD-202212-3470


CNNVD-202212-3477


CNNVD-202212-3548


CNNVD-202212-3879


标点信息科技

CNNVD-202212-2192


铭飞

CNNVD-202212-2766


代码问题

3DCity Database

CNNVD-202212-3496

ApacheTapestry
代码问题漏洞
(CNNVD-202212-1863)


Apache基金会

CNNVD-202212-1863


CNNVD-202212-3143


IBM

CNNVD-202212-3585


Jenkins

CNNVD-202212-2625


Proxmox

CNNVD-202212-2202


RocketSoftware

CNNVD-202212-1851


TYPO3

CNNVD-202212-3296


WordPress基金会

CNNVD-202212-2614


CNNVD-202212-2917


CNNVD-202212-2925


CNNVD-202212-2931


个人开发者

CNNVD-202212-1820


CNNVD-202212-2182


CNNVD-202212-2185


CNNVD-202212-2645


CNNVD-202212-3320


CNNVD-202212-3445


CNNVD-202212-3605


CNNVD-202212-3787


前端矿工

CNNVD-202212-2183


南昌卓蓝科技有限公司

CNNVD-202212-2656


授权问题

HewlettPackard Enterprise

CNNVD-202212-2870

HewlettPackard Enterprise OfficeConnect
授权问题漏洞
(CNNVD-202212-2870)


Veeam

CNNVD-202212-2480


authentik

CNNVD-202212-1877


个人开发者

CNNVD-202212-3750


CNNVD-202212-3810


华为

CNNVD-202212-2493


操作系统命令注入

Brave

CNNVD-202212-3931

SeagateCentral NAS
操作系统命令注入漏洞
(CNNVD-202212-2581)


Contec

CNNVD-202212-3393


Seagate

CNNVD-202212-2581


TelosAlliance

CNNVD-202212-1861


netgate

CNNVD-202212-3648


个人开发者

CNNVD-202212-2424


CNNVD-202212-2428


CNNVD-202212-2627


CNNVD-202212-2818


CNNVD-202212-3591


CNNVD-202212-3711


CNNVD-202212-3805


华硕

CNNVD-202212-1805


缓冲区错误

Avast

CNNVD-202212-2662

AvastAntivirus
缓冲区错误漏洞
(CNNVD-202212-2662)


Google

CNNVD-202212-2402


CNNVD-202212-2404


CNNVD-202212-2610


CNNVD-202212-2611


MikroTik

CNNVD-202212-2438


CNNVD-202212-2439


Neutrinolabs

CNNVD-202212-2774


CNNVD-202212-2776


CNNVD-202212-2777


CNNVD-202212-2778


CNNVD-202212-2781


OpenImageIO

CNNVD-202212-3767


CNNVD-202212-3774


Vim

CNNVD-202212-1929


CNNVD-202212-2184


个人开发者

CNNVD-202212-3396


CNNVD-202212-3573


CNNVD-202212-3574


CNNVD-202212-3589


CNNVD-202212-3639


乐为创新科技

CNNVD-202212-2529


华为

CNNVD-202212-2497


CNNVD-202212-2506


CNNVD-202212-2513


CNNVD-202212-2514


CNNVD-202212-2520


CNNVD-202212-2524


腾达

CNNVD-202212-1900


CNNVD-202212-1901


CNNVD-202212-1903


CNNVD-202212-1999


CNNVD-202212-2065


飞桨

CNNVD-202212-2641


访问控制错误

BEApps

CNNVD-202212-2508

SICKSIM2000ST
访问控制错误漏洞
(CNNVD-202212-3421)


SICK

CNNVD-202212-3421


Telepad

CNNVD-202212-2436


thisAAY

CNNVD-202212-2509


资源管理错误

Linux基金会

CNNVD-202212-3802

Linuxkernel
资源管理错误漏洞
(CNNVD-202212-3802)


开放原子开源基金会

CNNVD-202212-3560


输入验证错误

Neutrinolabs

CNNVD-202212-2775

TIBCOSoftware Nimbus
输入验证错误漏洞
(CNNVD-202212-2605)


OTRS

CNNVD-202212-3515


TIBCOSoftware

CNNVD-202212-2605


个人开发者

CNNVD-202212-2534


CNNVD-202212-3712


1、WordPress plugin Dokan SQL注入漏洞(CNNVD-202212-2927)

    WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

    WordPressplugin Dokan 3.7.6之前版本存在SQL注入漏洞,该漏洞源于在SQL语句使用参数之前没有正确地对其进行清理和转义。攻击者利用该漏洞执行SQL注入攻击。

    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/fd416d99-1970-418f-81f5-8438490d4479

2、Apache Tapestry 代码问题漏洞(CNNVD-202212-1863)

    ApacheTapestry是美国阿帕奇(Apache)基金会的一款使用Java语言编写的Web应用程序框架。

    ApacheTapestry 3.x版本存在代码问题漏洞,该漏洞源于其允许对不受信任的数据进行反序列化导致攻击者可以实现远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread/bwn1vjrvz1hq0wbdzj23wz322244swhj

3、Hewlett Packard Enterprise OfficeConnect 授权问题漏洞(CNNVD-202212-2870)

    HewlettPackard Enterprise OfficeConnect是美国慧与(Hewlett Packard Enterprise)公司的一系列交换机。

    HewlettPackard Enterprise OfficeConnect 1820、1850 和1920S Network switches存在安全漏洞,该漏洞源于发现了一个潜在的安全漏洞,该漏洞可被远程利用以绕过身份验证,以下产品和版本受到影响:PT.02.14 之前版本、 在 PC.01.22 之前版本;、在PO.01.21 之前版本、 在 PD.02.22 之前版本。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbnw04383en_us

4、Seagate Central NAS 操作系统命令注入漏洞(CNNVD-202212-2581)

    SeagateCentral NAS是美国希捷(Seagate)公司的一系列网络存储设备。

SeagateCentral NAS STCG2000300、STCG3000300和 STCG4000300 存在安全漏洞,该漏洞源于Web管理应用程序允许通过利用“开始”状态并发送 check_device_name 请求,攻击者利用该漏洞可以通过 cirrus/application/helpers/mv_backend_helper.php 中的 mv_backend_launch 注入操作系统命令。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.seagate.com/

5、Avast Antivirus 缓冲区错误漏洞(CNNVD-202212-2662)

    AvastAntivirus是捷克Avast公司的一套杀毒软件。

    AvastAntivirus Script Shield 组件版本18.0.1473.0 及之前版本存在缓冲区错误漏洞,该漏洞源于加载Avast DLL 库时发生堆损坏而导致 MozillaFirefox 浏览器崩溃。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

    https://www.avast.com/

6、SICK SIM2000ST 访问控制错误漏洞(CNNVD-202212-3421)

    SICKSIM2000ST是德国西克(SICK)公司的一款传感器集成机。

SICKSIM2000ST Partnumber 2086502 固件版本1.13.4之前版本存在安全漏洞,该漏洞源于允许无特权的远程攻击者通过调用密码恢复机制方法来访问定义为 RecoverableUserLevel 的用户级别,这导致他们在系统上的特权增加,从而影响系统的机密性完整性和可用性。

目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

    https://sick.com/psirt

7、Linux kernel 资源管理错误漏洞(CNNVD-202212-3802)

    Linuxkernel是美国Linux基金会的开源操作系统Linux所使用的内核。

    Linuxkernel存在安全漏洞,该漏洞源于ksmbd 中发现了一个问题,fs/ksmbd/smb2pdu.c 有一个释放后重用和 SMB2_TREE_DISCONNECT 的 OOPS。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=cf6531d98190fa2cf92a6d8bbc8af0a4740a223c

8、TIBCO Software Nimbus 输入验证错误漏洞(CNNVD-202212-2605)

    TIBCOSoftware Nimbus是美国TIBCO Software公司的用于流程文档的业务应用程序。

    TIBCOSoftware Nimbus 10.5.0版本存在安全漏洞,该漏洞源于WebClient组件存在问题,允许具有网络访问权限的未经身份验证的攻击者利用受影响系统上的开放重定向。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.tibco.com/support/advisories/2022/12/tibco-security-advisory-december-6-2022-tibco-nimbus-cve-2022-41559
1.4.2 高危漏洞实例
2022年12月高危漏洞共762个,其中重要漏洞实例如表6所示。

表62022年12月高危漏洞实例


漏洞类型

厂商

CNNVD编号

漏洞实例


SQL注入

AeroCMS

CNNVD-202212-3092

FortinetFortiADC
SQL注入漏洞
(CNNVD-202212-2593)


BigCommerec

CNNVD-202212-2810


Cube.js

CNNVD-202212-2801


Fortinet

CNNVD-202212-2593


MAKU

CNNVD-202212-2642


PlanetEnterprises

CNNVD-202212-2794


CNNVD-202212-2796


CNNVD-202212-2797


CNNVD-202212-2800


Rainy

CNNVD-202212-2842


WordPress基金会

CNNVD-202212-2457


CNNVD-202212-2460


CNNVD-202212-2467


CNNVD-202212-2918


CNNVD-202212-2924


CNNVD-202212-3923


个人开发者

CNNVD-202212-1904


CNNVD-202212-1905


CNNVD-202212-1906


CNNVD-202212-1908


CNNVD-202212-2191


CNNVD-202212-2517


CNNVD-202212-2643


CNNVD-202212-2785


CNNVD-202212-2826


CNNVD-202212-3252


CNNVD-202212-3255


CNNVD-202212-3256


CNNVD-202212-3257


CNNVD-202212-3258


CNNVD-202212-3259


CNNVD-202212-3260


CNNVD-202212-3261


CNNVD-202212-3262


CNNVD-202212-3276


CNNVD-202212-3290


CNNVD-202212-3291


CNNVD-202212-3517


CNNVD-202212-3582


CNNVD-202212-3877


CNNVD-202212-3886


代码问题

AeroCMS

CNNVD-202212-3407

SymantecIdentity Manager
代码问题漏洞
(CNNVD-202212-3417)


Apache基金会

CNNVD-202212-3564


Autodesk

CNNVD-202212-3557


Esri

CNNVD-202212-4112


Exact

CNNVD-202212-3395


FFmpeg

CNNVD-202212-3422


Google

CNNVD-202212-3135


HP

CNNVD-202212-2869


JetBrains

CNNVD-202212-2740


OpenEMR

CNNVD-202212-3357


OpenImageIO

CNNVD-202212-3770


SAP

CNNVD-202212-2963


Siemens

CNNVD-202212-3100


Symantec

CNNVD-202212-3417


Synacor

CNNVD-202212-2476


WordPress基金会

CNNVD-202212-2468


CNNVD-202212-2915


CNNVD-202212-2916


CNNVD-202212-2928


CNNVD-202212-2938


CNNVD-202212-3534


CNNVD-202212-3921


个人开发者

CNNVD-202212-2600


CNNVD-202212-2629


CNNVD-202212-2832


CNNVD-202212-2848


CNNVD-202212-2948


CNNVD-202212-3325


CNNVD-202212-3332


CNNVD-202212-3333


CNNVD-202212-3473


CNNVD-202212-3816


CNNVD-202212-4097


华为

CNNVD-202212-2485


顶想信息科技

CNNVD-202212-2576


授权问题

Auth0

CNNVD-202212-3058

OnCommandInsight
授权问题漏洞
(CNNVD-202212-3653)


Buffalo

CNNVD-202212-2638


Devolutions

CNNVD-202212-3677


IFM

CNNVD-202212-2844


JetBrains

CNNVD-202212-2739


Mobatek

CNNVD-202212-2528


Mozilla基金会

CNNVD-202212-3749


NetApp

CNNVD-202212-3653


Secomea

CNNVD-202212-2763


UNIMOTechnology

CNNVD-202212-1856


个人开发者

CNNVD-202212-3806


CNNVD-202212-4061


操作系统命令注入

Buffalo

CNNVD-202212-2829

Buffalonetwork devices
操作系统命令注入漏洞
(CNNVD-202212-2829)


IBM

CNNVD-202212-2602


PAXTechnology

CNNVD-202212-3440


Sophos

CNNVD-202212-1825


UNIMOTechnology

CNNVD-202212-1855


个人开发者

CNNVD-202212-2636


台达电子

CNNVD-202212-3230


CNNVD-202212-3231


雄迈科技

CNNVD-202212-1800


缓冲区错误

ASUS

CNNVD-202212-3272

CiscoIP Phone
缓冲区错误漏洞
(CNNVD-202212-2749)


Apple

CNNVD-202212-3020


CNNVD-202212-3021


CNNVD-202212-3022


CNNVD-202212-3024


CNNVD-202212-3025


CNNVD-202212-3027


CNNVD-202212-3028


CNNVD-202212-3030


CNNVD-202212-3031


CNNVD-202212-3040


CNNVD-202212-3115


CNNVD-202212-3336


CNNVD-202212-3343


Asterisk

CNNVD-202212-2138


Autodesk

CNNVD-202212-3555


CNNVD-202212-3556


Cisco

CNNVD-202212-2749


Dromara社区

CNNVD-202212-3129


CNNVD-202212-3130


CNNVD-202212-3131


FujiElectric

CNNVD-202212-3660


GPAC

CNNVD-202212-2531


Google

CNNVD-202212-2224


CNNVD-202212-2249


CNNVD-202212-2253


CNNVD-202212-2269


CNNVD-202212-2275


CNNVD-202212-2279


CNNVD-202212-2281


CNNVD-202212-2287


CNNVD-202212-2304


CNNVD-202212-2337


CNNVD-202212-2372


CNNVD-202212-2406


CNNVD-202212-2412


HCLTechnologies

CNNVD-202212-3510


CNNVD-202212-3511


CNNVD-202212-3512


CNNVD-202212-3513


IBM

CNNVD-202212-2644


CNNVD-202212-3507


CNNVD-202212-3508


Linux基金会

CNNVD-202212-3479


CNNVD-202212-3480


CNNVD-202212-3481


CNNVD-202212-3482


CNNVD-202212-3799


CNNVD-202212-3801


NVIDIA

CNNVD-202212-2616


OpenImageIO

CNNVD-202212-3771


PowerISO

CNNVD-202212-2661


Qualcomm

CNNVD-202212-3330


Siemens

CNNVD-202212-3081


CNNVD-202212-3082


CNNVD-202212-3083


CNNVD-202212-3085


CNNVD-202212-3086


CNNVD-202212-3095


CNNVD-202212-3104


CNNVD-202212-3108


CNNVD-202212-3109


CNNVD-202212-3110


CNNVD-202212-3111


TRENDnet

CNNVD-202212-2655


TrendMicro

CNNVD-202212-2852


CNNVD-202212-2857


VMware

CNNVD-202212-2970


X.Org基金会

CNNVD-202212-3270


CNNVD-202212-3280


CNNVD-202212-3281


个人开发者

CNNVD-202212-3128


CNNVD-202212-3132


CNNVD-202212-3248


CNNVD-202212-3471


CNNVD-202212-3566


中兴通讯

CNNVD-202212-2901


华为

CNNVD-202212-2502


CNNVD-202212-2526


腾达

CNNVD-202212-1798


CNNVD-202212-2676


CNNVD-202212-2677


CNNVD-202212-2678


CNNVD-202212-2679


CNNVD-202212-2680


CNNVD-202212-2681


CNNVD-202212-2682


CNNVD-202212-2683


CNNVD-202212-2684


CNNVD-202212-2685


CNNVD-202212-2686


CNNVD-202212-2687


CNNVD-202212-2688


CNNVD-202212-2689


CNNVD-202212-2690


CNNVD-202212-2691


CNNVD-202212-2692


CNNVD-202212-2693


CNNVD-202212-2694


CNNVD-202212-2696


CNNVD-202212-2698


CNNVD-202212-2699


CNNVD-202212-2700


CNNVD-202212-2706


CNNVD-202212-2900


CNNVD-202212-3432


访问控制错误

OpenEMR

CNNVD-202212-3458

RockwellAutomation Studio 5000 Logix Designer
访问控制错误漏洞
(CNNVD-202212-3803)


RockwellAutomation

CNNVD-202212-3803


个人开发者

CNNVD-202212-3809


CNNVD-202212-3818


CNNVD-202212-3974


CNNVD-202212-4055


CNNVD-202212-4059


CNNVD-202212-4081


CNNVD-202212-4084


资源管理错误

ARM

CNNVD-202212-2943

ARMMali GPU Kernel Driver
资源管理错误漏洞
(CNNVD-202212-2943)


Apple

CNNVD-202212-3033


ChainSafe

CNNVD-202212-2657


Dromara

CNNVD-202212-3437


Google

CNNVD-202212-2271


CNNVD-202212-2318


CNNVD-202212-2325


CNNVD-202212-2344


CNNVD-202212-2357


CNNVD-202212-2387


CNNVD-202212-2388


CNNVD-202212-2389


CNNVD-202212-2390


CNNVD-202212-2391


CNNVD-202212-2394


CNNVD-202212-2395


CNNVD-202212-2396


CNNVD-202212-2397


CNNVD-202212-3176


CNNVD-202212-3177


CNNVD-202212-3180


CNNVD-202212-3183


CNNVD-202212-3187


Helm

CNNVD-202212-3328


MirageOS

CNNVD-202212-2651


Omron

CNNVD-202212-3593


Siemens

CNNVD-202212-3077


CNNVD-202212-3096


CNNVD-202212-3107


Vim

CNNVD-202212-1907


CNNVD-202212-2474


X.Org基金会

CNNVD-202212-3271


CNNVD-202212-3274


CNNVD-202212-3283


libp2p

CNNVD-202212-2654


CNNVD-202212-2665


个人开发者

CNNVD-202212-3710


CNNVD-202212-3780


CNNVD-202212-3965


华为

CNNVD-202212-2488


输入验证错误

Apache基金会

CNNVD-202212-3125

NETGEARNighthawk
输入验证错误漏洞
(CNNVD-202212-3436)


Apple

CNNVD-202212-3344


Google

CNNVD-202212-2209


CNNVD-202212-2261


CNNVD-202212-2262


CNNVD-202212-2263


CNNVD-202212-2288


CNNVD-202212-2289


CNNVD-202212-2298


CNNVD-202212-2299


CNNVD-202212-2301


CNNVD-202212-2302


CNNVD-202212-2340


CNNVD-202212-2365


CNNVD-202212-2370


CNNVD-202212-2392


CNNVD-202212-2405


CNNVD-202212-3410


JuniperNetworks

CNNVD-202212-3782


NETGEAR

CNNVD-202212-3436


OpenEMR

CNNVD-202212-3359


Paul

CNNVD-202212-3502


Qualcomm

CNNVD-202212-3118


RockwellAutomation

CNNVD-202212-2788


CNNVD-202212-3450


SAMSUNG

CNNVD-202212-2718


Secomea

CNNVD-202212-2578


Siemens

CNNVD-202212-2985


CNNVD-202212-2986


CNNVD-202212-2987


CNNVD-202212-3101


个人开发者

CNNVD-202212-2815


华为

CNNVD-202212-2510


1、Fortinet FortiADC SQL注入漏洞(CNNVD-202212-2593)

    FortinetFortiADC是美国飞塔(Fortinet)公司的一款应用交付控制器。

    FortinetFortiADC 7.1.0 、7.0.0 至 7.0.2 和6.2.4 及之前版本存在SQL注入漏洞,该漏洞源于使用的特殊元素的不当中和,攻击者利用该漏洞可以执行未经授权的代码或通过特制的 HTTP 请求发送命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://fortiguard.com/psirt/FG-IR-21-170

2、Symantec Identity Manager 代码问题漏洞(CNNVD-202212-3417)

    SymantecIdentity Manager是美国赛门铁克(Symantec)公司的一个身份管理系统。

    SymantecIdentity Manager 14.4版本存在安全漏洞,该漏洞源于经过身份验证的用户可以在管理控制台中执行XML外部实体注入。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.broadcom.com/external/content/SecurityAdvisories/0/21136

3、NetApp OnCommand Insight 授权问题漏洞(CNNVD-202212-3653)

    NetAppOncommand Insight是美国网络器械(NetApp)公司的一套混合云数据中心管理软件。该软件提供监控和管理多供应商IT基础架构、优化存储资源管理等功能。

    OnCommandInsight 7.3.1版本至7.3.14版本存在安全漏洞,该漏洞源于容易受到数据仓库组件中身份验证绕过漏洞的影响。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://security.netapp.com/advisory/NTAP-20221220-0001/

4、Buffalo network devices 操作系统命令注入漏洞(CNNVD-202212-2829)

    Buffalonetwork devices是日本巴比禄(Buffalo)公司的一系列网络设备。

    Buffalonetwork devices 存在安全漏洞,该漏洞源于未经身份验证的攻击者可以通过精心制作的恶意请求实现任意系统命令执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.buffalo.jp/news/detail/20221205-01.html

5、Cisco IP Phone 缓冲区错误漏洞(CNNVD-202212-2749)

    CiscoIP Phone是美国思科(Cisco)公司的一个硬件设备。提供通话功能的IP电话。

    CiscoIP Phone 7800和8800系列存在缓冲区错误漏洞,该漏洞源于其固件的Cisco Discovery Protocol允许未经身份验证的相邻攻击者实现栈溢出导致远程代码执行或拒绝服务。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U

6、Rockwell Automation Studio 5000 Logix Designer 访问控制错误漏洞(CNNVD-202212-3803)

    RockwellAutomation Studio 5000 Logix Designer是美国罗克韦尔(Rockwell Automation)公司的一个基于 Windows 的应用程序。用于为PLC 构建程序。

    RockwellAutomation Studio 5000 Logix Designer v.20-33版本存在访问控制错误漏洞,该漏洞源于用户在某些产品服务上被授予较高的权限,恶意用户有可能在目标软件上实现远程代码执行。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://compatibility.rockwellautomation.com/Pages/MultiProductSelector.aspx?crumb=111

7、ARM Mali GPU Kernel Driver 资源管理错误漏洞(CNNVD-202212-2943)

    ARMMali GPU Kernel Driver是英国ARM公司的一个图形处理器单元的驱动程序。

    ArmMali GPU Kernel Driver存在资源管理错误漏洞,该漏洞源于非特权用户可以通过不适当的GPU处理操作来访问已经释放的内存导致释放后重用。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

8、NETGEAR Nighthawk 输入验证错误漏洞(CNNVD-202212-3436)

    NETGEARNighthawk是美国网件(NETGEAR)公司的一系列无线路由器。

    NETGEARNighthawk WiFi6 Router存在输入验证错误漏洞,该漏洞源于用户输入过滤不当,攻击者利用该漏洞可以在未经身份验证的情况下在设备上执行任意命令。

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

    https://www.netgear.com/
二、漏洞平台推送情况
    2022年12月漏洞平台推送漏洞74171个。

表7 2022年12月漏洞平台推送情况表


序号

漏洞平台

漏洞总量


1

补天平台

65968


2

漏洞盒子

4172


3

360漏洞云

4031


推送总计

74171

三、接报漏洞情况
    2022年12月接报漏洞4368个,其中信息技术产品漏洞(通用型漏洞)619个,网络信息系统漏洞(事件型漏洞)3749个。

表82022年12月接报漏洞情况表


序号

报送单位

漏洞数量


1            

北京山石网科信息技术有限公司

2879


2            

北京赛宁网安科技有限公司

365


3            

北京云科安信科技有限公司

228


4            

河南听潮盛世信息技术有限公司

84


5            

上海斗象信息科技有限公司

77


6            

个人

69


7            

远江盛邦(北京)网络安全科技股份有限公司

45


8            

广州锦行网络科技有限公司

40


9            

北京梆梆安全科技有限公司

33


10      

北京国舜科技股份有限公司

28


11      

杭州默安科技有限公司

26


12      

北京长亭科技有限公司

26


13      

北京华顺信安信息技术有限公司

25


14      

杭州海康威视数字技术股份有限公司

23


15      

苏州棱镜七彩信息科技有限公司

20


16      

奇安信网神信息技术(北京)股份有限公司

20


17      

杭州安恒信息技术股份有限公司

19


18      

北京天融信网络安全技术有限公司

18


19      

卫士通(广州)信息安全技术有限公司

16


20      

杰润鸿远(北京)科技有限公司

14


21      

中电信数智科技有限公司

13


22      

三六零数字安全科技集团有限公司

13


23      

北京六方云信息技术有限公司

13


24      

长春嘉诚信息技术股份有限公司

12


25      

西安四叶草信息技术有限公司

12


26      

北京网御星云信息技术有限公司

12


27      

北京安帝科技有限公司

12


28      

神州灵云(北京)科技有限公司

11


29      

安全邦(北京)信息技术有限公司

10


30      

中兴通讯股份有限公司

9


31      

京东科技信息技术有限公司

9


32      

北京五一嘉峪科技有限公司

9


33      

西安交大捷普网络科技有限公司

8


34      

河南悦海数安科技有限公司

8


35      

博智安全科技股份有限公司

8


36      

北京微步在线科技有限公司

8


37      

四维创智(北京)科技发展有限公司

7


38      

北京优炫软件股份有限公司

7


39      

北京永信至诚科技股份有限公司

7


40      

上海安识网络科技有限公司

6


41      

瑞数信息技术(上海)有限公司

6


42      

内蒙古洞明科技有限公司

6


43      

福建经联网络技术有限公司

6


44      

统信软件技术有限公司

5


45      

天津市兴先道科技有限公司

5


46      

上海安几科技有限公司

5


47      

南京众智维信息科技有限公司

5


48      

河南灵创电子科技有限公司

5


49      

北京安华金和科技有限公司

5


50      

浙江大华技术股份有限公司

4


51      

上海上讯信息技术股份有限公司

4


52      

赛尔网络有限公司

4


53      

广州竞远安全技术股份有限公司

4


54      

郑州埃文计算机科技有限公司

3


55      

新华三技术有限公司

3


56      

山东泽鹿安全技术有限公司

3


57      

内蒙古御网科技有限责任公司

3


58      

南京仞安信息技术有限公司

3


59      

河南天祺信息安全技术有限公司

3


60      

北京中测安华科技有限公司

3


61      

北京网猿科技有限公司

3


62      

北京金睛云华科技有限公司

3


63      

深圳海云安网络安全技术有限公司

2


64      

上海齐同信息科技有限公司

2


65      

华为技术有限公司

2


66      

北京墨云科技有限公司

2


67      

北京兰云科技有限公司

2


68      

北京安信天行科技有限公司

2


69      

安徽华云安科技有限公司

2


70      

中能融合智慧科技有限公司

1


71      

长扬科技(北京)股份有限公司

1


72      

天翼数智科技(北京)有限公司

1


73      

深圳市深信服信息安全有限公司

1


74      

深信服科技股份有限公司

1


75      

上海矢安科技有限公司

1


76      

上海谋乐网络科技有限公司

1


77      

内蒙古信元网络安全技术股份有限公司

1


78      

江苏保旺达软件技术有限公司

1


79      

杭州迪普科技股份有限公司

1


80      

广东为辰信息科技有限公司

1


81      

北京知道创宇信息技术股份有限公司

1


82      

北京星阑科技有限公司

1


83      

北京启明星辰信息安全技术有限公司

1


报送合计

4368

四、重大漏洞通报4.1Fortinet FortiOS安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于FortinetFortiOS 安全漏洞(CNNVD-202212-2946、CVE-2022-42475)情况的报送。成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS7.2.0-7.2.2、FortiOS 7.0.0-7.0.8、FortiOS6.4.0-6.4.10、FortiOS 6.2.0-6.2.11、FortiOS-6K7K7.0.0-7.0.7、FortiOS-6K7K 6.4.0-6.4.9、FortiOS-6K7K6.2.0-6.2.11、FortiOS-6K7K 6.0.0-6.0.14等版本均受此漏洞影响。目前,Fortinet官方已经发布了修复漏洞的升级版本,建议用户及时确认产品版本,尽快采取修补措施。

. 漏洞介绍

    Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS 存在安全漏洞,攻击者可利用该漏洞在未经身份认证的情况下,通过发送恶意数据导致堆缓冲区溢出,从而实现远程代码执行。

. 危害影响

成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS7.2.0-7.2.2、FortiOS 7.0.0-7.0.8、FortiOS6.4.0-6.4.10、FortiOS 6.2.0-6.2.11、FortiOS-6K7K7.0.0-7.0.7、FortiOS-6K7K 6.4.0-6.4.9、FortiOS-6K7K6.2.0-6.2.11、FortiOS-6K7K 6.0.0-6.0.14等版本均受此漏洞影响。

. 修复建议

目前,Fortinet官方已发布新版本修复了该漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:

    https://www.fortiguard.com/psirt/FG-IR-22-398
4.2 微软多个安全漏洞的通报
近日,微软官方发布了56个安全漏洞的公告,包括Microsoft GraphicsComponent 安全漏洞(CNNVD-202212-3145、CVE-2022-26804)、Microsoft Graphics Component 安全漏洞(CNNVD-202212-3123、CVE-2022-26805)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

. 漏洞介绍

    2022年12月13日,微软发布了2022年12月份安全更新,共56个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了MicrosoftWindows 和 Windows 组件、MicrosoftWindows Fax Compose Form、Microsoft Windows Hyper-V、MicrosoftWindows Print Spooler Components、Microsoft Windows DirectX、MicrosoftWindows Error Reporting等。CNNVD对其危害等级进行了评价,其中高危漏洞45个,中危漏洞10个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问

https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

. 漏洞详情

此次更新共包括48个新增漏洞的补丁程序,其中高危漏洞40个,中危漏洞8个。


序号

漏洞名称

CNNVD

编号

CVE

编号

危害等级

官方链接


1

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3145

CVE-2022-26804

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26804


2

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3123

CVE-2022-26805

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26805


3

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3122

CVE-2022-26806

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26806


4

Microsoft Windows PowerShell 安全漏洞

CNNVD-202212-3016

CVE-2022-41076

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41076


5

Microsoft Windows Fax Compose Form 安全漏洞

CNNVD-202212-3014

CVE-2022-41077

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41077


6

Microsoft .NET Framework 安全漏洞

CNNVD-202212-2976

CVE-2022-41089

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41089


7

Microsoft Windows Hyper-V 安全漏洞

CNNVD-202212-3013

CVE-2022-41094

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41094


8

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3012

CVE-2022-41121

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41121


9

Microsoft Dynamics 安全漏洞

CNNVD-202212-3159

CVE-2022-41127

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41127


10

Microsoft Windows Contacts 安全漏洞

CNNVD-202212-3011

CVE-2022-44666

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44666


11

Microsoft Windows Codecs Library 安全漏洞

CNNVD-202212-3009

CVE-2022-44667

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44667


12

Microsoft Windows Codecs Library 安全漏洞

CNNVD-202212-3010

CVE-2022-44668

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44668


13

Microsoft Windows Error Reporting 安全漏洞

CNNVD-202212-3007

CVE-2022-44669

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44669


14

Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞

CNNVD-202212-3006

CVE-2022-44670

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44670


15

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3004

CVE-2022-44671

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44671


16

Microsoft Client Server Run-time Subsystem (CSRSS) 安全漏洞

CNNVD-202212-3003

CVE-2022-44673

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44673


17

Microsoft Bluetooth Driver 安全漏洞

CNNVD-202212-3001

CVE-2022-44675

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44675


18

Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞

CNNVD-202212-2999

CVE-2022-44676

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44676


19

Microsoft Projected File System 安全漏洞

CNNVD-202212-2996

CVE-2022-44677

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44677


20

Microsoft Windows Print Spooler Components 安全漏洞

CNNVD-202212-2992

CVE-2022-44678

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44678


21

Microsoft Graphics Component 安全漏洞

CNNVD-202212-2991

CVE-2022-44680

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44680


22

Microsoft Windows Print Spooler Components 安全漏洞

CNNVD-202212-2993

CVE-2022-44681

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44681


23

Microsoft Windows Kernel 安全漏洞

CNNVD-202212-2981

CVE-2022-44683

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44683


24

Microsoft Windows Codecs Library 安全漏洞

CNNVD-202212-3152

CVE-2022-44687

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44687


25

Microsoft Windows Subsystem for Linux 安全漏洞

CNNVD-202212-2980

CVE-2022-44689

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44689


26

Microsoft SharePoint 安全漏洞

CNNVD-202212-3018

CVE-2022-44690

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44690


27

Microsoft Office 安全漏洞

CNNVD-202212-3121

CVE-2022-44691

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44691


28

Microsoft Office 安全漏洞

CNNVD-202212-3098

CVE-2022-44692

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44692


29

Microsoft SharePoint 安全漏洞

CNNVD-202212-3017

CVE-2022-44693

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44693


30

Microsoft Office Visio 安全漏洞

CNNVD-202212-3084

CVE-2022-44694

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44694


31

Microsoft Office Visio 安全漏洞

CNNVD-202212-3070

CVE-2022-44695

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44695


32

Microsoft Office Visio 安全漏洞

CNNVD-202212-3057

CVE-2022-44696

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44696


33

Microsoft Graphics Component 安全漏洞

CNNVD-202212-2979

CVE-2022-44697

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44697


34

Microsoft Windows Terminal 安全漏洞

CNNVD-202212-3149

CVE-2022-44702

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44702


35

Microsoft SysInternals 安全漏洞

CNNVD-202212-3148

CVE-2022-44704

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44704


36

Microsoft Windows DirectX 安全漏洞

CNNVD-202212-2978

CVE-2022-44710

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44710


37

Microsoft Outlook 安全漏洞

CNNVD-202212-3053

CVE-2022-44713

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44713


38

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3050

CVE-2022-47211

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47211


39

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3046

CVE-2022-47212

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47212


40

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3044

CVE-2022-47213

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47213


41

Microsoft Outlook 安全漏洞

CNNVD-202212-3157

CVE-2022-24480

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24480


42

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3015

CVE-2022-41074

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41074


43

Microsoft Bluetooth Driver 安全漏洞

CNNVD-202212-3002

CVE-2022-44674

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44674


44

Microsoft Graphics Component 安全漏洞

CNNVD-202212-2997

CVE-2022-44679

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44679


45

Microsoft Windows Hyper-V 安全漏洞

CNNVD-202212-2983

CVE-2022-44682

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44682


46

Microsoft Windows SmartScreen 安全漏洞

CNNVD-202212-2977

CVE-2022-44698

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44698


47

Microsoft Azure 安全漏洞

CNNVD-202212-3150

CVE-2022-44699

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44699


48

Microsoft Windows Kernel 安全漏洞

CNNVD-202212-2975

CVE-2022-44707

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44707


此次更新共包括8个更新漏洞的补丁程序,其中高危漏洞5个,中危漏洞2个,低危漏洞1个。


序号

漏洞名称

CNNVD

编号

CVE

编号

危害等级

官方链接


1

Microsoft SPNEGO Extended Negotiation 安全漏洞

CNNVD-202209-818

CVE-2022-37958

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37958


2

Microsoft Windows Kerberos 安全漏洞

CNNVD-202211-2288

CVE-2022-37967

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967


3

Microsoft Windows Active Directory 安全漏洞

CNNVD-202210-594

CVE-2022-38042

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38042


4

Microsoft Exchange Server 安全漏洞

CNNVD-202211-2394

CVE-2022-41078

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41078


5

Microsoft Exchange Server 安全漏洞

CNNVD-202211-2380

CVE-2022-41079

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41079


6

Microsoft Windows Defender 安全漏洞

CNNVD-202208-2556

CVE-2022-34704

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34704


7

Microsoft Windows Portable Device Enumerator Service 安全漏洞

CNNVD-202210-458

CVE-2022-38032

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38032


8

Microsoft Office 安全漏洞

CNNVD-202210-403

CVE-2022-41043

低危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41043


. 修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

    https://msrc.microsoft.com/update-guide/en-us


页: [1]
查看完整版本: 信息安全漏洞月报2022年12月