信息安全漏洞月报2022年12月
漏洞态势根据国家信息安全漏洞库(CNNVD)统计,2022年12月份采集安全漏洞共2173个。
本月接报漏洞78539个,其中信息技术产品漏洞(通用型漏洞)619个,网络信息系统漏洞(事件型漏洞)77920个,其中漏洞平台推送漏洞74171个。
重大漏洞通报
Fortinet FortiOS 安全漏洞(CNNVD-202212-2946/CVE-2022-42475):成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS 7.2.0等多个版本均受此漏洞影响。目前,Fortinet官方已经发布了修复漏洞的升级版本,建议用户及时确认产品版本,尽快采取修补措施。
微软官方发布公告更新了Microsoft Graphics Component安全漏洞(CNNVD-202212-3145/CVE-2022-26804)、Microsoft Graphics Component安全漏洞(CNNVD-202212-3123/CVE-2022-26805)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
漏洞态势
一、公开漏洞情况
根据国家信息安全漏洞库(CNNVD)统计,2022年12月份新增安全漏洞共2173个,从厂商分布来看,Google公司产品的漏洞数量最多,共发布220个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到16.11%。本月新增漏洞中,超危漏洞256个、高危漏洞762个、中危漏洞1101个、低危漏洞54个,相应修复率分别为69.92%、74.28%、84.29%以及96.30%。合计1725个漏洞已有修复补丁发布,本月整体修复率79.38%。
截至2022年12月31日,CNNVD采集漏洞总量已达199523个。
1.1 漏洞增长概况
2022年12月新增安全漏洞2173个,与上月(1922个)相比增加了13.06%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2066个。
图1 2022年7月至2022年12月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
2022年12月厂商漏洞数量分布情况如表1所示,Google公司漏洞达到220个,占本月漏洞总量的10.12%。
表12022年12月排名前十厂商新增安全漏洞统计表
序号
厂商名称
漏洞数量(个)
所占比例
1
220
10.12%
2
WordPress基金会
148
6.81%
3
Microsoft
52
2.39%
4
Apple
49
2.25%
5
IBM
44
2.02%
6
Siemens
41
1.89%
7
Adobe
40
1.84%
8
NVIDIA
32
1.47%
9
Linux基金会
31
1.43%
10
Samsung
23
1.06%
1.2.2 漏洞产品分布
2022年12月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共30个,Apple iOS漏洞数量最多,共45个,占主流操作系统漏洞总量的13.47%,排名第一。
表22022年12月主流操作系统漏洞数量统计
序号
操作系统名称
漏洞数量
1
Apple iOS
45
2
Linux Kernel
30
3
Windows 11
29
4
Windows 10
29
5
Windows Server 2022
26
6
Windows Server 2019
26
7
Windows Server 2016
21
8
Windows 8.1
21
9
Windows Server 2012
20
10
Windows Server 2012 R2
20
11
Windows Rt 8.1
18
12
Windows Server 2008
16
13
Windows 7
16
14
Windows Server 2008 R2
15
15
Android
2
1.2.3 漏洞类型分布
2022年12月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为16.11%。
表32022年12月漏洞类型统计表
序号
漏洞类型
漏洞数量(个)
所占比例
1
跨站脚本
350
16.11%
2
缓冲区错误
248
11.41%
3
SQL注入
104
4.79%
4
代码问题
98
4.51%
5
输入验证错误
73
3.36%
6
路径遍历
58
2.67%
7
资源管理错误
58
2.67%
8
跨站请求伪造
46
2.12%
9
授权问题
43
1.98%
10
命令注入
31
1.43%
11
操作系统命令注入
24
1.10%
12
访问控制错误
20
0.92%
13
代码注入
16
0.74%
14
加密问题
16
0.74%
15
信息泄露
11
0.51%
16
竞争条件问题
11
0.51%
17
信任管理问题
10
0.46%
18
注入
10
0.46%
19
数据伪造问题
8
0.37%
20
日志信息泄露
6
0.28%
21
安全特征问题
3
0.14%
22
参数注入
3
0.14%
23
格式化字符串错误
2
0.09%
24
数字错误
1
0.05%
25
环境问题
1
0.05%
26
其他
922
42.43%
1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年12月漏洞危害等级分布如图2所示,其中超危漏洞256条,占本月漏洞总数的11.78%。
图22022年12月漏洞危害等级分布
1.3漏洞修复情1.3.1 整体修复情况
2022年12月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到96.30%,超危漏洞修复率最低,比例为69.92%。
总体来看,本月整体修复率由上月的75.29%上升至本月的79.38%。
图32022年12月漏洞修复数量统计
1.3.2 厂商修复情况
2022年12月漏洞修复情况按漏洞数量前十厂商进行统计,其中Google、WordPress基金会、Microsoft等十个厂商共680条漏洞,占本月漏洞总数的31.29%,漏洞修复率为90.29%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Microsoft、Siemens、Adobe、NVIDIA、Samsung等公司本月漏洞修复率均为100%,共614条漏洞已全部修复。
表4 2022年12月厂商修复情况统计表
序号
厂商名称
漏洞数量(个)
修复数量
修复率
1
220
218
99.09%
2
WordPress基金会
148
136
91.89%
3
Microsoft
52
52
100.00%
4
Apple
49
7
14.29%
5
IBM
44
39
88.64%
6
Siemens
41
41
100.00%
7
Adobe
40
40
100.00%
8
NVIDIA
32
32
100.00%
9
Linux基金会
31
26
83.87%
10
Samsung
23
23
100.00%
1.4 重要漏洞实例1.4.1 超危漏洞实例
2022年12月超危漏洞共256个,其中重要漏洞实例如表5所示。
表52022年12月超危漏洞实例
漏洞类型
厂商
CNNVD编号
漏洞实例
SQL注入
Laravel
CNNVD-202212-3547
WordPressplugin Dokan
SQL注入漏洞
(CNNVD-202212-2927)
PlanetEnterprises
CNNVD-202212-2795
Rukovoditel
CNNVD-202212-1937
WordPress基金会
CNNVD-202212-2432
CNNVD-202212-2927
CNNVD-202212-3347
CNNVD-202212-3535
个人开发者
CNNVD-202212-1812
CNNVD-202212-1866
CNNVD-202212-1933
CNNVD-202212-1934
CNNVD-202212-2186
CNNVD-202212-2187
CNNVD-202212-2628
CNNVD-202212-2817
CNNVD-202212-3140
CNNVD-202212-3278
CNNVD-202212-3279
CNNVD-202212-3284
CNNVD-202212-3438
CNNVD-202212-3447
CNNVD-202212-3470
CNNVD-202212-3477
CNNVD-202212-3548
CNNVD-202212-3879
标点信息科技
CNNVD-202212-2192
铭飞
CNNVD-202212-2766
代码问题
3DCity Database
CNNVD-202212-3496
ApacheTapestry
代码问题漏洞
(CNNVD-202212-1863)
Apache基金会
CNNVD-202212-1863
CNNVD-202212-3143
IBM
CNNVD-202212-3585
Jenkins
CNNVD-202212-2625
Proxmox
CNNVD-202212-2202
RocketSoftware
CNNVD-202212-1851
TYPO3
CNNVD-202212-3296
WordPress基金会
CNNVD-202212-2614
CNNVD-202212-2917
CNNVD-202212-2925
CNNVD-202212-2931
个人开发者
CNNVD-202212-1820
CNNVD-202212-2182
CNNVD-202212-2185
CNNVD-202212-2645
CNNVD-202212-3320
CNNVD-202212-3445
CNNVD-202212-3605
CNNVD-202212-3787
前端矿工
CNNVD-202212-2183
南昌卓蓝科技有限公司
CNNVD-202212-2656
授权问题
HewlettPackard Enterprise
CNNVD-202212-2870
HewlettPackard Enterprise OfficeConnect
授权问题漏洞
(CNNVD-202212-2870)
Veeam
CNNVD-202212-2480
authentik
CNNVD-202212-1877
个人开发者
CNNVD-202212-3750
CNNVD-202212-3810
华为
CNNVD-202212-2493
操作系统命令注入
Brave
CNNVD-202212-3931
SeagateCentral NAS
操作系统命令注入漏洞
(CNNVD-202212-2581)
Contec
CNNVD-202212-3393
Seagate
CNNVD-202212-2581
TelosAlliance
CNNVD-202212-1861
netgate
CNNVD-202212-3648
个人开发者
CNNVD-202212-2424
CNNVD-202212-2428
CNNVD-202212-2627
CNNVD-202212-2818
CNNVD-202212-3591
CNNVD-202212-3711
CNNVD-202212-3805
华硕
CNNVD-202212-1805
缓冲区错误
Avast
CNNVD-202212-2662
AvastAntivirus
缓冲区错误漏洞
(CNNVD-202212-2662)
CNNVD-202212-2402
CNNVD-202212-2404
CNNVD-202212-2610
CNNVD-202212-2611
MikroTik
CNNVD-202212-2438
CNNVD-202212-2439
Neutrinolabs
CNNVD-202212-2774
CNNVD-202212-2776
CNNVD-202212-2777
CNNVD-202212-2778
CNNVD-202212-2781
OpenImageIO
CNNVD-202212-3767
CNNVD-202212-3774
Vim
CNNVD-202212-1929
CNNVD-202212-2184
个人开发者
CNNVD-202212-3396
CNNVD-202212-3573
CNNVD-202212-3574
CNNVD-202212-3589
CNNVD-202212-3639
乐为创新科技
CNNVD-202212-2529
华为
CNNVD-202212-2497
CNNVD-202212-2506
CNNVD-202212-2513
CNNVD-202212-2514
CNNVD-202212-2520
CNNVD-202212-2524
腾达
CNNVD-202212-1900
CNNVD-202212-1901
CNNVD-202212-1903
CNNVD-202212-1999
CNNVD-202212-2065
飞桨
CNNVD-202212-2641
访问控制错误
BEApps
CNNVD-202212-2508
SICKSIM2000ST
访问控制错误漏洞
(CNNVD-202212-3421)
SICK
CNNVD-202212-3421
Telepad
CNNVD-202212-2436
thisAAY
CNNVD-202212-2509
资源管理错误
Linux基金会
CNNVD-202212-3802
Linuxkernel
资源管理错误漏洞
(CNNVD-202212-3802)
开放原子开源基金会
CNNVD-202212-3560
输入验证错误
Neutrinolabs
CNNVD-202212-2775
TIBCOSoftware Nimbus
输入验证错误漏洞
(CNNVD-202212-2605)
OTRS
CNNVD-202212-3515
TIBCOSoftware
CNNVD-202212-2605
个人开发者
CNNVD-202212-2534
CNNVD-202212-3712
1、WordPress plugin Dokan SQL注入漏洞(CNNVD-202212-2927)
WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。
WordPressplugin Dokan 3.7.6之前版本存在SQL注入漏洞,该漏洞源于在SQL语句使用参数之前没有正确地对其进行清理和转义。攻击者利用该漏洞执行SQL注入攻击。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://wpscan.com/vulnerability/fd416d99-1970-418f-81f5-8438490d4479
2、Apache Tapestry 代码问题漏洞(CNNVD-202212-1863)
ApacheTapestry是美国阿帕奇(Apache)基金会的一款使用Java语言编写的Web应用程序框架。
ApacheTapestry 3.x版本存在代码问题漏洞,该漏洞源于其允许对不受信任的数据进行反序列化导致攻击者可以实现远程代码执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://lists.apache.org/thread/bwn1vjrvz1hq0wbdzj23wz322244swhj
3、Hewlett Packard Enterprise OfficeConnect 授权问题漏洞(CNNVD-202212-2870)
HewlettPackard Enterprise OfficeConnect是美国慧与(Hewlett Packard Enterprise)公司的一系列交换机。
HewlettPackard Enterprise OfficeConnect 1820、1850 和1920S Network switches存在安全漏洞,该漏洞源于发现了一个潜在的安全漏洞,该漏洞可被远程利用以绕过身份验证,以下产品和版本受到影响:PT.02.14 之前版本、 在 PC.01.22 之前版本;、在PO.01.21 之前版本、 在 PD.02.22 之前版本。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbnw04383en_us
4、Seagate Central NAS 操作系统命令注入漏洞(CNNVD-202212-2581)
SeagateCentral NAS是美国希捷(Seagate)公司的一系列网络存储设备。
SeagateCentral NAS STCG2000300、STCG3000300和 STCG4000300 存在安全漏洞,该漏洞源于Web管理应用程序允许通过利用“开始”状态并发送 check_device_name 请求,攻击者利用该漏洞可以通过 cirrus/application/helpers/mv_backend_helper.php 中的 mv_backend_launch 注入操作系统命令。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.seagate.com/
5、Avast Antivirus 缓冲区错误漏洞(CNNVD-202212-2662)
AvastAntivirus是捷克Avast公司的一套杀毒软件。
AvastAntivirus Script Shield 组件版本18.0.1473.0 及之前版本存在缓冲区错误漏洞,该漏洞源于加载Avast DLL 库时发生堆损坏而导致 MozillaFirefox 浏览器崩溃。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.avast.com/
6、SICK SIM2000ST 访问控制错误漏洞(CNNVD-202212-3421)
SICKSIM2000ST是德国西克(SICK)公司的一款传感器集成机。
SICKSIM2000ST Partnumber 2086502 固件版本1.13.4之前版本存在安全漏洞,该漏洞源于允许无特权的远程攻击者通过调用密码恢复机制方法来访问定义为 RecoverableUserLevel 的用户级别,这导致他们在系统上的特权增加,从而影响系统的机密性完整性和可用性。
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://sick.com/psirt
7、Linux kernel 资源管理错误漏洞(CNNVD-202212-3802)
Linuxkernel是美国Linux基金会的开源操作系统Linux所使用的内核。
Linuxkernel存在安全漏洞,该漏洞源于ksmbd 中发现了一个问题,fs/ksmbd/smb2pdu.c 有一个释放后重用和 SMB2_TREE_DISCONNECT 的 OOPS。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=cf6531d98190fa2cf92a6d8bbc8af0a4740a223c
8、TIBCO Software Nimbus 输入验证错误漏洞(CNNVD-202212-2605)
TIBCOSoftware Nimbus是美国TIBCO Software公司的用于流程文档的业务应用程序。
TIBCOSoftware Nimbus 10.5.0版本存在安全漏洞,该漏洞源于WebClient组件存在问题,允许具有网络访问权限的未经身份验证的攻击者利用受影响系统上的开放重定向。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.tibco.com/support/advisories/2022/12/tibco-security-advisory-december-6-2022-tibco-nimbus-cve-2022-41559
1.4.2 高危漏洞实例
2022年12月高危漏洞共762个,其中重要漏洞实例如表6所示。
表62022年12月高危漏洞实例
漏洞类型
厂商
CNNVD编号
漏洞实例
SQL注入
AeroCMS
CNNVD-202212-3092
FortinetFortiADC
SQL注入漏洞
(CNNVD-202212-2593)
BigCommerec
CNNVD-202212-2810
Cube.js
CNNVD-202212-2801
Fortinet
CNNVD-202212-2593
MAKU
CNNVD-202212-2642
PlanetEnterprises
CNNVD-202212-2794
CNNVD-202212-2796
CNNVD-202212-2797
CNNVD-202212-2800
Rainy
CNNVD-202212-2842
WordPress基金会
CNNVD-202212-2457
CNNVD-202212-2460
CNNVD-202212-2467
CNNVD-202212-2918
CNNVD-202212-2924
CNNVD-202212-3923
个人开发者
CNNVD-202212-1904
CNNVD-202212-1905
CNNVD-202212-1906
CNNVD-202212-1908
CNNVD-202212-2191
CNNVD-202212-2517
CNNVD-202212-2643
CNNVD-202212-2785
CNNVD-202212-2826
CNNVD-202212-3252
CNNVD-202212-3255
CNNVD-202212-3256
CNNVD-202212-3257
CNNVD-202212-3258
CNNVD-202212-3259
CNNVD-202212-3260
CNNVD-202212-3261
CNNVD-202212-3262
CNNVD-202212-3276
CNNVD-202212-3290
CNNVD-202212-3291
CNNVD-202212-3517
CNNVD-202212-3582
CNNVD-202212-3877
CNNVD-202212-3886
代码问题
AeroCMS
CNNVD-202212-3407
SymantecIdentity Manager
代码问题漏洞
(CNNVD-202212-3417)
Apache基金会
CNNVD-202212-3564
Autodesk
CNNVD-202212-3557
Esri
CNNVD-202212-4112
Exact
CNNVD-202212-3395
FFmpeg
CNNVD-202212-3422
CNNVD-202212-3135
HP
CNNVD-202212-2869
JetBrains
CNNVD-202212-2740
OpenEMR
CNNVD-202212-3357
OpenImageIO
CNNVD-202212-3770
SAP
CNNVD-202212-2963
Siemens
CNNVD-202212-3100
Symantec
CNNVD-202212-3417
Synacor
CNNVD-202212-2476
WordPress基金会
CNNVD-202212-2468
CNNVD-202212-2915
CNNVD-202212-2916
CNNVD-202212-2928
CNNVD-202212-2938
CNNVD-202212-3534
CNNVD-202212-3921
个人开发者
CNNVD-202212-2600
CNNVD-202212-2629
CNNVD-202212-2832
CNNVD-202212-2848
CNNVD-202212-2948
CNNVD-202212-3325
CNNVD-202212-3332
CNNVD-202212-3333
CNNVD-202212-3473
CNNVD-202212-3816
CNNVD-202212-4097
华为
CNNVD-202212-2485
顶想信息科技
CNNVD-202212-2576
授权问题
Auth0
CNNVD-202212-3058
OnCommandInsight
授权问题漏洞
(CNNVD-202212-3653)
Buffalo
CNNVD-202212-2638
Devolutions
CNNVD-202212-3677
IFM
CNNVD-202212-2844
JetBrains
CNNVD-202212-2739
Mobatek
CNNVD-202212-2528
Mozilla基金会
CNNVD-202212-3749
NetApp
CNNVD-202212-3653
Secomea
CNNVD-202212-2763
UNIMOTechnology
CNNVD-202212-1856
个人开发者
CNNVD-202212-3806
CNNVD-202212-4061
操作系统命令注入
Buffalo
CNNVD-202212-2829
Buffalonetwork devices
操作系统命令注入漏洞
(CNNVD-202212-2829)
IBM
CNNVD-202212-2602
PAXTechnology
CNNVD-202212-3440
Sophos
CNNVD-202212-1825
UNIMOTechnology
CNNVD-202212-1855
个人开发者
CNNVD-202212-2636
台达电子
CNNVD-202212-3230
CNNVD-202212-3231
雄迈科技
CNNVD-202212-1800
缓冲区错误
ASUS
CNNVD-202212-3272
CiscoIP Phone
缓冲区错误漏洞
(CNNVD-202212-2749)
Apple
CNNVD-202212-3020
CNNVD-202212-3021
CNNVD-202212-3022
CNNVD-202212-3024
CNNVD-202212-3025
CNNVD-202212-3027
CNNVD-202212-3028
CNNVD-202212-3030
CNNVD-202212-3031
CNNVD-202212-3040
CNNVD-202212-3115
CNNVD-202212-3336
CNNVD-202212-3343
Asterisk
CNNVD-202212-2138
Autodesk
CNNVD-202212-3555
CNNVD-202212-3556
Cisco
CNNVD-202212-2749
Dromara社区
CNNVD-202212-3129
CNNVD-202212-3130
CNNVD-202212-3131
FujiElectric
CNNVD-202212-3660
GPAC
CNNVD-202212-2531
CNNVD-202212-2224
CNNVD-202212-2249
CNNVD-202212-2253
CNNVD-202212-2269
CNNVD-202212-2275
CNNVD-202212-2279
CNNVD-202212-2281
CNNVD-202212-2287
CNNVD-202212-2304
CNNVD-202212-2337
CNNVD-202212-2372
CNNVD-202212-2406
CNNVD-202212-2412
HCLTechnologies
CNNVD-202212-3510
CNNVD-202212-3511
CNNVD-202212-3512
CNNVD-202212-3513
IBM
CNNVD-202212-2644
CNNVD-202212-3507
CNNVD-202212-3508
Linux基金会
CNNVD-202212-3479
CNNVD-202212-3480
CNNVD-202212-3481
CNNVD-202212-3482
CNNVD-202212-3799
CNNVD-202212-3801
NVIDIA
CNNVD-202212-2616
OpenImageIO
CNNVD-202212-3771
PowerISO
CNNVD-202212-2661
Qualcomm
CNNVD-202212-3330
Siemens
CNNVD-202212-3081
CNNVD-202212-3082
CNNVD-202212-3083
CNNVD-202212-3085
CNNVD-202212-3086
CNNVD-202212-3095
CNNVD-202212-3104
CNNVD-202212-3108
CNNVD-202212-3109
CNNVD-202212-3110
CNNVD-202212-3111
TRENDnet
CNNVD-202212-2655
TrendMicro
CNNVD-202212-2852
CNNVD-202212-2857
VMware
CNNVD-202212-2970
X.Org基金会
CNNVD-202212-3270
CNNVD-202212-3280
CNNVD-202212-3281
个人开发者
CNNVD-202212-3128
CNNVD-202212-3132
CNNVD-202212-3248
CNNVD-202212-3471
CNNVD-202212-3566
中兴通讯
CNNVD-202212-2901
华为
CNNVD-202212-2502
CNNVD-202212-2526
腾达
CNNVD-202212-1798
CNNVD-202212-2676
CNNVD-202212-2677
CNNVD-202212-2678
CNNVD-202212-2679
CNNVD-202212-2680
CNNVD-202212-2681
CNNVD-202212-2682
CNNVD-202212-2683
CNNVD-202212-2684
CNNVD-202212-2685
CNNVD-202212-2686
CNNVD-202212-2687
CNNVD-202212-2688
CNNVD-202212-2689
CNNVD-202212-2690
CNNVD-202212-2691
CNNVD-202212-2692
CNNVD-202212-2693
CNNVD-202212-2694
CNNVD-202212-2696
CNNVD-202212-2698
CNNVD-202212-2699
CNNVD-202212-2700
CNNVD-202212-2706
CNNVD-202212-2900
CNNVD-202212-3432
访问控制错误
OpenEMR
CNNVD-202212-3458
RockwellAutomation Studio 5000 Logix Designer
访问控制错误漏洞
(CNNVD-202212-3803)
RockwellAutomation
CNNVD-202212-3803
个人开发者
CNNVD-202212-3809
CNNVD-202212-3818
CNNVD-202212-3974
CNNVD-202212-4055
CNNVD-202212-4059
CNNVD-202212-4081
CNNVD-202212-4084
资源管理错误
ARM
CNNVD-202212-2943
ARMMali GPU Kernel Driver
资源管理错误漏洞
(CNNVD-202212-2943)
Apple
CNNVD-202212-3033
ChainSafe
CNNVD-202212-2657
Dromara
CNNVD-202212-3437
CNNVD-202212-2271
CNNVD-202212-2318
CNNVD-202212-2325
CNNVD-202212-2344
CNNVD-202212-2357
CNNVD-202212-2387
CNNVD-202212-2388
CNNVD-202212-2389
CNNVD-202212-2390
CNNVD-202212-2391
CNNVD-202212-2394
CNNVD-202212-2395
CNNVD-202212-2396
CNNVD-202212-2397
CNNVD-202212-3176
CNNVD-202212-3177
CNNVD-202212-3180
CNNVD-202212-3183
CNNVD-202212-3187
Helm
CNNVD-202212-3328
MirageOS
CNNVD-202212-2651
Omron
CNNVD-202212-3593
Siemens
CNNVD-202212-3077
CNNVD-202212-3096
CNNVD-202212-3107
Vim
CNNVD-202212-1907
CNNVD-202212-2474
X.Org基金会
CNNVD-202212-3271
CNNVD-202212-3274
CNNVD-202212-3283
libp2p
CNNVD-202212-2654
CNNVD-202212-2665
个人开发者
CNNVD-202212-3710
CNNVD-202212-3780
CNNVD-202212-3965
华为
CNNVD-202212-2488
输入验证错误
Apache基金会
CNNVD-202212-3125
NETGEARNighthawk
输入验证错误漏洞
(CNNVD-202212-3436)
Apple
CNNVD-202212-3344
CNNVD-202212-2209
CNNVD-202212-2261
CNNVD-202212-2262
CNNVD-202212-2263
CNNVD-202212-2288
CNNVD-202212-2289
CNNVD-202212-2298
CNNVD-202212-2299
CNNVD-202212-2301
CNNVD-202212-2302
CNNVD-202212-2340
CNNVD-202212-2365
CNNVD-202212-2370
CNNVD-202212-2392
CNNVD-202212-2405
CNNVD-202212-3410
JuniperNetworks
CNNVD-202212-3782
NETGEAR
CNNVD-202212-3436
OpenEMR
CNNVD-202212-3359
Paul
CNNVD-202212-3502
Qualcomm
CNNVD-202212-3118
RockwellAutomation
CNNVD-202212-2788
CNNVD-202212-3450
SAMSUNG
CNNVD-202212-2718
Secomea
CNNVD-202212-2578
Siemens
CNNVD-202212-2985
CNNVD-202212-2986
CNNVD-202212-2987
CNNVD-202212-3101
个人开发者
CNNVD-202212-2815
华为
CNNVD-202212-2510
1、Fortinet FortiADC SQL注入漏洞(CNNVD-202212-2593)
FortinetFortiADC是美国飞塔(Fortinet)公司的一款应用交付控制器。
FortinetFortiADC 7.1.0 、7.0.0 至 7.0.2 和6.2.4 及之前版本存在SQL注入漏洞,该漏洞源于使用的特殊元素的不当中和,攻击者利用该漏洞可以执行未经授权的代码或通过特制的 HTTP 请求发送命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://fortiguard.com/psirt/FG-IR-21-170
2、Symantec Identity Manager 代码问题漏洞(CNNVD-202212-3417)
SymantecIdentity Manager是美国赛门铁克(Symantec)公司的一个身份管理系统。
SymantecIdentity Manager 14.4版本存在安全漏洞,该漏洞源于经过身份验证的用户可以在管理控制台中执行XML外部实体注入。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://support.broadcom.com/external/content/SecurityAdvisories/0/21136
3、NetApp OnCommand Insight 授权问题漏洞(CNNVD-202212-3653)
NetAppOncommand Insight是美国网络器械(NetApp)公司的一套混合云数据中心管理软件。该软件提供监控和管理多供应商IT基础架构、优化存储资源管理等功能。
OnCommandInsight 7.3.1版本至7.3.14版本存在安全漏洞,该漏洞源于容易受到数据仓库组件中身份验证绕过漏洞的影响。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://security.netapp.com/advisory/NTAP-20221220-0001/
4、Buffalo network devices 操作系统命令注入漏洞(CNNVD-202212-2829)
Buffalonetwork devices是日本巴比禄(Buffalo)公司的一系列网络设备。
Buffalonetwork devices 存在安全漏洞,该漏洞源于未经身份验证的攻击者可以通过精心制作的恶意请求实现任意系统命令执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.buffalo.jp/news/detail/20221205-01.html
5、Cisco IP Phone 缓冲区错误漏洞(CNNVD-202212-2749)
CiscoIP Phone是美国思科(Cisco)公司的一个硬件设备。提供通话功能的IP电话。
CiscoIP Phone 7800和8800系列存在缓冲区错误漏洞,该漏洞源于其固件的Cisco Discovery Protocol允许未经身份验证的相邻攻击者实现栈溢出导致远程代码执行或拒绝服务。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U
6、Rockwell Automation Studio 5000 Logix Designer 访问控制错误漏洞(CNNVD-202212-3803)
RockwellAutomation Studio 5000 Logix Designer是美国罗克韦尔(Rockwell Automation)公司的一个基于 Windows 的应用程序。用于为PLC 构建程序。
RockwellAutomation Studio 5000 Logix Designer v.20-33版本存在访问控制错误漏洞,该漏洞源于用户在某些产品服务上被授予较高的权限,恶意用户有可能在目标软件上实现远程代码执行。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://compatibility.rockwellautomation.com/Pages/MultiProductSelector.aspx?crumb=111
7、ARM Mali GPU Kernel Driver 资源管理错误漏洞(CNNVD-202212-2943)
ARMMali GPU Kernel Driver是英国ARM公司的一个图形处理器单元的驱动程序。
ArmMali GPU Kernel Driver存在资源管理错误漏洞,该漏洞源于非特权用户可以通过不适当的GPU处理操作来访问已经释放的内存导致释放后重用。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities
8、NETGEAR Nighthawk 输入验证错误漏洞(CNNVD-202212-3436)
NETGEARNighthawk是美国网件(NETGEAR)公司的一系列无线路由器。
NETGEARNighthawk WiFi6 Router存在输入验证错误漏洞,该漏洞源于用户输入过滤不当,攻击者利用该漏洞可以在未经身份验证的情况下在设备上执行任意命令。
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.netgear.com/
二、漏洞平台推送情况
2022年12月漏洞平台推送漏洞74171个。
表7 2022年12月漏洞平台推送情况表
序号
漏洞平台
漏洞总量
1
补天平台
65968
2
漏洞盒子
4172
3
360漏洞云
4031
推送总计
74171
三、接报漏洞情况
2022年12月接报漏洞4368个,其中信息技术产品漏洞(通用型漏洞)619个,网络信息系统漏洞(事件型漏洞)3749个。
表82022年12月接报漏洞情况表
序号
报送单位
漏洞数量
1
北京山石网科信息技术有限公司
2879
2
北京赛宁网安科技有限公司
365
3
北京云科安信科技有限公司
228
4
河南听潮盛世信息技术有限公司
84
5
上海斗象信息科技有限公司
77
6
个人
69
7
远江盛邦(北京)网络安全科技股份有限公司
45
8
广州锦行网络科技有限公司
40
9
北京梆梆安全科技有限公司
33
10
北京国舜科技股份有限公司
28
11
杭州默安科技有限公司
26
12
北京长亭科技有限公司
26
13
北京华顺信安信息技术有限公司
25
14
杭州海康威视数字技术股份有限公司
23
15
苏州棱镜七彩信息科技有限公司
20
16
奇安信网神信息技术(北京)股份有限公司
20
17
杭州安恒信息技术股份有限公司
19
18
北京天融信网络安全技术有限公司
18
19
卫士通(广州)信息安全技术有限公司
16
20
杰润鸿远(北京)科技有限公司
14
21
中电信数智科技有限公司
13
22
三六零数字安全科技集团有限公司
13
23
北京六方云信息技术有限公司
13
24
长春嘉诚信息技术股份有限公司
12
25
西安四叶草信息技术有限公司
12
26
北京网御星云信息技术有限公司
12
27
北京安帝科技有限公司
12
28
神州灵云(北京)科技有限公司
11
29
安全邦(北京)信息技术有限公司
10
30
中兴通讯股份有限公司
9
31
京东科技信息技术有限公司
9
32
北京五一嘉峪科技有限公司
9
33
西安交大捷普网络科技有限公司
8
34
河南悦海数安科技有限公司
8
35
博智安全科技股份有限公司
8
36
北京微步在线科技有限公司
8
37
四维创智(北京)科技发展有限公司
7
38
北京优炫软件股份有限公司
7
39
北京永信至诚科技股份有限公司
7
40
上海安识网络科技有限公司
6
41
瑞数信息技术(上海)有限公司
6
42
内蒙古洞明科技有限公司
6
43
福建经联网络技术有限公司
6
44
统信软件技术有限公司
5
45
天津市兴先道科技有限公司
5
46
上海安几科技有限公司
5
47
南京众智维信息科技有限公司
5
48
河南灵创电子科技有限公司
5
49
北京安华金和科技有限公司
5
50
浙江大华技术股份有限公司
4
51
上海上讯信息技术股份有限公司
4
52
赛尔网络有限公司
4
53
广州竞远安全技术股份有限公司
4
54
郑州埃文计算机科技有限公司
3
55
新华三技术有限公司
3
56
山东泽鹿安全技术有限公司
3
57
内蒙古御网科技有限责任公司
3
58
南京仞安信息技术有限公司
3
59
河南天祺信息安全技术有限公司
3
60
北京中测安华科技有限公司
3
61
北京网猿科技有限公司
3
62
北京金睛云华科技有限公司
3
63
深圳海云安网络安全技术有限公司
2
64
上海齐同信息科技有限公司
2
65
华为技术有限公司
2
66
北京墨云科技有限公司
2
67
北京兰云科技有限公司
2
68
北京安信天行科技有限公司
2
69
安徽华云安科技有限公司
2
70
中能融合智慧科技有限公司
1
71
长扬科技(北京)股份有限公司
1
72
天翼数智科技(北京)有限公司
1
73
深圳市深信服信息安全有限公司
1
74
深信服科技股份有限公司
1
75
上海矢安科技有限公司
1
76
上海谋乐网络科技有限公司
1
77
内蒙古信元网络安全技术股份有限公司
1
78
江苏保旺达软件技术有限公司
1
79
杭州迪普科技股份有限公司
1
80
广东为辰信息科技有限公司
1
81
北京知道创宇信息技术股份有限公司
1
82
北京星阑科技有限公司
1
83
北京启明星辰信息安全技术有限公司
1
报送合计
4368
四、重大漏洞通报4.1Fortinet FortiOS安全漏洞的通报
近日,国家信息安全漏洞库(CNNVD)收到关于FortinetFortiOS 安全漏洞(CNNVD-202212-2946、CVE-2022-42475)情况的报送。成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS7.2.0-7.2.2、FortiOS 7.0.0-7.0.8、FortiOS6.4.0-6.4.10、FortiOS 6.2.0-6.2.11、FortiOS-6K7K7.0.0-7.0.7、FortiOS-6K7K 6.4.0-6.4.9、FortiOS-6K7K6.2.0-6.2.11、FortiOS-6K7K 6.0.0-6.0.14等版本均受此漏洞影响。目前,Fortinet官方已经发布了修复漏洞的升级版本,建议用户及时确认产品版本,尽快采取修补措施。
. 漏洞介绍
Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS 存在安全漏洞,攻击者可利用该漏洞在未经身份认证的情况下,通过发送恶意数据导致堆缓冲区溢出,从而实现远程代码执行。
. 危害影响
成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS7.2.0-7.2.2、FortiOS 7.0.0-7.0.8、FortiOS6.4.0-6.4.10、FortiOS 6.2.0-6.2.11、FortiOS-6K7K7.0.0-7.0.7、FortiOS-6K7K 6.4.0-6.4.9、FortiOS-6K7K6.2.0-6.2.11、FortiOS-6K7K 6.0.0-6.0.14等版本均受此漏洞影响。
. 修复建议
目前,Fortinet官方已发布新版本修复了该漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:
https://www.fortiguard.com/psirt/FG-IR-22-398
4.2 微软多个安全漏洞的通报
近日,微软官方发布了56个安全漏洞的公告,包括Microsoft GraphicsComponent 安全漏洞(CNNVD-202212-3145、CVE-2022-26804)、Microsoft Graphics Component 安全漏洞(CNNVD-202212-3123、CVE-2022-26805)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
. 漏洞介绍
2022年12月13日,微软发布了2022年12月份安全更新,共56个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了MicrosoftWindows 和 Windows 组件、MicrosoftWindows Fax Compose Form、Microsoft Windows Hyper-V、MicrosoftWindows Print Spooler Components、Microsoft Windows DirectX、MicrosoftWindows Error Reporting等。CNNVD对其危害等级进行了评价,其中高危漏洞45个,中危漏洞10个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问
https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。
. 漏洞详情
此次更新共包括48个新增漏洞的补丁程序,其中高危漏洞40个,中危漏洞8个。
序号
漏洞名称
CNNVD
编号
CVE
编号
危害等级
官方链接
1
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3145
CVE-2022-26804
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26804
2
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3123
CVE-2022-26805
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26805
3
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3122
CVE-2022-26806
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26806
4
Microsoft Windows PowerShell 安全漏洞
CNNVD-202212-3016
CVE-2022-41076
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41076
5
Microsoft Windows Fax Compose Form 安全漏洞
CNNVD-202212-3014
CVE-2022-41077
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41077
6
Microsoft .NET Framework 安全漏洞
CNNVD-202212-2976
CVE-2022-41089
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41089
7
Microsoft Windows Hyper-V 安全漏洞
CNNVD-202212-3013
CVE-2022-41094
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41094
8
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3012
CVE-2022-41121
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41121
9
Microsoft Dynamics 安全漏洞
CNNVD-202212-3159
CVE-2022-41127
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41127
10
Microsoft Windows Contacts 安全漏洞
CNNVD-202212-3011
CVE-2022-44666
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44666
11
Microsoft Windows Codecs Library 安全漏洞
CNNVD-202212-3009
CVE-2022-44667
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44667
12
Microsoft Windows Codecs Library 安全漏洞
CNNVD-202212-3010
CVE-2022-44668
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44668
13
Microsoft Windows Error Reporting 安全漏洞
CNNVD-202212-3007
CVE-2022-44669
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44669
14
Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞
CNNVD-202212-3006
CVE-2022-44670
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44670
15
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3004
CVE-2022-44671
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44671
16
Microsoft Client Server Run-time Subsystem (CSRSS) 安全漏洞
CNNVD-202212-3003
CVE-2022-44673
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44673
17
Microsoft Bluetooth Driver 安全漏洞
CNNVD-202212-3001
CVE-2022-44675
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44675
18
Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞
CNNVD-202212-2999
CVE-2022-44676
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44676
19
Microsoft Projected File System 安全漏洞
CNNVD-202212-2996
CVE-2022-44677
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44677
20
Microsoft Windows Print Spooler Components 安全漏洞
CNNVD-202212-2992
CVE-2022-44678
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44678
21
Microsoft Graphics Component 安全漏洞
CNNVD-202212-2991
CVE-2022-44680
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44680
22
Microsoft Windows Print Spooler Components 安全漏洞
CNNVD-202212-2993
CVE-2022-44681
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44681
23
Microsoft Windows Kernel 安全漏洞
CNNVD-202212-2981
CVE-2022-44683
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44683
24
Microsoft Windows Codecs Library 安全漏洞
CNNVD-202212-3152
CVE-2022-44687
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44687
25
Microsoft Windows Subsystem for Linux 安全漏洞
CNNVD-202212-2980
CVE-2022-44689
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44689
26
Microsoft SharePoint 安全漏洞
CNNVD-202212-3018
CVE-2022-44690
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44690
27
Microsoft Office 安全漏洞
CNNVD-202212-3121
CVE-2022-44691
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44691
28
Microsoft Office 安全漏洞
CNNVD-202212-3098
CVE-2022-44692
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44692
29
Microsoft SharePoint 安全漏洞
CNNVD-202212-3017
CVE-2022-44693
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44693
30
Microsoft Office Visio 安全漏洞
CNNVD-202212-3084
CVE-2022-44694
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44694
31
Microsoft Office Visio 安全漏洞
CNNVD-202212-3070
CVE-2022-44695
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44695
32
Microsoft Office Visio 安全漏洞
CNNVD-202212-3057
CVE-2022-44696
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44696
33
Microsoft Graphics Component 安全漏洞
CNNVD-202212-2979
CVE-2022-44697
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44697
34
Microsoft Windows Terminal 安全漏洞
CNNVD-202212-3149
CVE-2022-44702
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44702
35
Microsoft SysInternals 安全漏洞
CNNVD-202212-3148
CVE-2022-44704
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44704
36
Microsoft Windows DirectX 安全漏洞
CNNVD-202212-2978
CVE-2022-44710
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44710
37
Microsoft Outlook 安全漏洞
CNNVD-202212-3053
CVE-2022-44713
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44713
38
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3050
CVE-2022-47211
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47211
39
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3046
CVE-2022-47212
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47212
40
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3044
CVE-2022-47213
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47213
41
Microsoft Outlook 安全漏洞
CNNVD-202212-3157
CVE-2022-24480
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24480
42
Microsoft Graphics Component 安全漏洞
CNNVD-202212-3015
CVE-2022-41074
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41074
43
Microsoft Bluetooth Driver 安全漏洞
CNNVD-202212-3002
CVE-2022-44674
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44674
44
Microsoft Graphics Component 安全漏洞
CNNVD-202212-2997
CVE-2022-44679
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44679
45
Microsoft Windows Hyper-V 安全漏洞
CNNVD-202212-2983
CVE-2022-44682
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44682
46
Microsoft Windows SmartScreen 安全漏洞
CNNVD-202212-2977
CVE-2022-44698
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44698
47
Microsoft Azure 安全漏洞
CNNVD-202212-3150
CVE-2022-44699
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44699
48
Microsoft Windows Kernel 安全漏洞
CNNVD-202212-2975
CVE-2022-44707
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44707
此次更新共包括8个更新漏洞的补丁程序,其中高危漏洞5个,中危漏洞2个,低危漏洞1个。
序号
漏洞名称
CNNVD
编号
CVE
编号
危害等级
官方链接
1
Microsoft SPNEGO Extended Negotiation 安全漏洞
CNNVD-202209-818
CVE-2022-37958
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37958
2
Microsoft Windows Kerberos 安全漏洞
CNNVD-202211-2288
CVE-2022-37967
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967
3
Microsoft Windows Active Directory 安全漏洞
CNNVD-202210-594
CVE-2022-38042
高危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38042
4
Microsoft Exchange Server 安全漏洞
CNNVD-202211-2394
CVE-2022-41078
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41078
5
Microsoft Exchange Server 安全漏洞
CNNVD-202211-2380
CVE-2022-41079
高危
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41079
6
Microsoft Windows Defender 安全漏洞
CNNVD-202208-2556
CVE-2022-34704
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34704
7
Microsoft Windows Portable Device Enumerator Service 安全漏洞
CNNVD-202210-458
CVE-2022-38032
中危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38032
8
Microsoft Office 安全漏洞
CNNVD-202210-403
CVE-2022-41043
低危
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41043
. 修复建议
目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:
https://msrc.microsoft.com/update-guide/en-us
页:
[1]