信息安全漏洞月报2022年12月

阅读模式 · 发表于 2023-1-6 10:23:27

漏洞态势

  根据国家信息安全漏洞库（CNNVD）统计，2022年12月份采集安全漏洞共2173个。

  本月接报漏洞78539个，其中信息技术产品漏洞（通用型漏洞）619个，网络信息系统漏洞（事件型漏洞）77920个，其中漏洞平台推送漏洞74171个。

重大漏洞通报

  Fortinet FortiOS 安全漏洞（CNNVD-202212-2946/CVE-2022-42475）：成功利用漏洞的攻击者，可向目标设备发送特殊请求，从而远程执行恶意代码。FortiOS 7.2.0等多个版本均受此漏洞影响。目前，Fortinet官方已经发布了修复漏洞的升级版本，建议用户及时确认产品版本，尽快采取修补措施。

微软官方发布公告更新了Microsoft Graphics Component安全漏洞（CNNVD-202212-3145/CVE-2022-26804）、Microsoft Graphics Component安全漏洞（CNNVD-202212-3123/CVE-2022-26805）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

漏洞态势
一、公开漏洞情况
  根据国家信息安全漏洞库（CNNVD）统计，2022年12月份新增安全漏洞共2173个，从厂商分布来看，Google公司产品的漏洞数量最多，共发布220个；从漏洞类型来看，跨站脚本类的漏洞占比最大，达到16.11%。本月新增漏洞中，超危漏洞256个、高危漏洞762个、中危漏洞1101个、低危漏洞54个，相应修复率分别为69.92%、74.28%、84.29%以及96.30%。合计1725个漏洞已有修复补丁发布，本月整体修复率79.38%。

  截至2022年12月31日，CNNVD采集漏洞总量已达199523个。
1.1 漏洞增长概况
   2022年12月新增安全漏洞2173个，与上月（1922个）相比增加了13.06%。根据近6个月来漏洞新增数量统计图，平均每月漏洞数量达到2066个。

图1 2022年7月至2022年12月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
2022年12月厂商漏洞数量分布情况如表1所示，Google公司漏洞达到220个，占本月漏洞总量的10.12%。

表1 2022年12月排名前十厂商新增安全漏洞统计表

序号	厂商名称	漏洞数量（个）	所占比例
1	Google	220	10.12%
2	WordPress基金会	148	6.81%
3	Microsoft	52	2.39%
4	Apple	49	2.25%
5	IBM	44	2.02%
6	Siemens	41	1.89%
7	Adobe	40	1.84%
8	NVIDIA	32	1.47%
9	Linux基金会	31	1.43%
10	Samsung	23	1.06%

1.2.2 漏洞产品分布
2022年12月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共30个，Apple iOS漏洞数量最多，共45个，占主流操作系统漏洞总量的13.47%，排名第一。

表2 2022年12月主流操作系统漏洞数量统计

序号	操作系统名称	漏洞数量
1	Apple iOS	45
2	Linux Kernel	30
3	Windows 11	29
4	Windows 10	29
5	Windows Server 2022	26
6	Windows Server 2019	26
7	Windows Server 2016	21
8	Windows 8.1	21
9	Windows Server 2012	20
10	Windows Server 2012 R2	20
11	Windows Rt 8.1	18
12	Windows Server 2008	16
13	Windows 7	16
14	Windows Server 2008 R2	15
15	Android	2

1.2.3 漏洞类型分布
2022年12月份发布的漏洞类型分布如表3所示，其中跨站脚本类漏洞所占比例最大，约为16.11%。

表3 2022年12月漏洞类型统计表

序号	漏洞类型	漏洞数量（个）	所占比例
1	跨站脚本	350	16.11%
2	缓冲区错误	248	11.41%
3	SQL注入	104	4.79%
4	代码问题	98	4.51%
5	输入验证错误	73	3.36%
6	路径遍历	58	2.67%
7	资源管理错误	58	2.67%
8	跨站请求伪造	46	2.12%
9	授权问题	43	1.98%
10	命令注入	31	1.43%
11	操作系统命令注入	24	1.10%
12	访问控制错误	20	0.92%
13	代码注入	16	0.74%
14	加密问题	16	0.74%
15	信息泄露	11	0.51%
16	竞争条件问题	11	0.51%
17	信任管理问题	10	0.46%
18	注入	10	0.46%
19	数据伪造问题	8	0.37%
20	日志信息泄露	6	0.28%
21	安全特征问题	3	0.14%
22	参数注入	3	0.14%
23	格式化字符串错误	2	0.09%
24	数字错误	1	0.05%
25	环境问题	1	0.05%
26	其他	922	42.43%

1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况，从高到低可将其分为四个危害等级，即超危、高危、中危和低危级别。2022年12月漏洞危害等级分布如图2所示，其中超危漏洞256条，占本月漏洞总数的11.78%。

图2 2022年12月漏洞危害等级分布
1.3漏洞修复情1.3.1 整体修复情况
2022年12月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高，达到96.30%，超危漏洞修复率最低，比例为69.92%。

总体来看，本月整体修复率由上月的75.29%上升至本月的79.38%。

图3 2022年12月漏洞修复数量统计
1.3.2 厂商修复情况
2022年12月漏洞修复情况按漏洞数量前十厂商进行统计，其中Google、WordPress基金会、Microsoft等十个厂商共680条漏洞，占本月漏洞总数的31.29%，漏洞修复率为90.29%，详细情况见表4。多数知名厂商对产品安全高度重视，产品漏洞修复比较及时，其中Microsoft、Siemens、Adobe、NVIDIA、Samsung等公司本月漏洞修复率均为100%，共614条漏洞已全部修复。

表4 2022年12月厂商修复情况统计表

序号	厂商名称	漏洞数量（个）	修复数量	修复率
1	Google	220	218	99.09%
2	WordPress基金会	148	136	91.89%
3	Microsoft	52	52	100.00%
4	Apple	49	7	14.29%
5	IBM	44	39	88.64%
6	Siemens	41	41	100.00%
7	Adobe	40	40	100.00%
8	NVIDIA	32	32	100.00%
9	Linux基金会	31	26	83.87%
10	Samsung	23	23	100.00%

1.4 重要漏洞实例1.4.1 超危漏洞实例
2022年12月超危漏洞共256个，其中重要漏洞实例如表5所示。

表5 2022年12月超危漏洞实例

漏洞类型	厂商	CNNVD编号	漏洞实例
SQL注入	Laravel	CNNVD-202212-3547	WordPress plugin Dokan SQL注入漏洞（CNNVD-202212-2927）
	Planet Enterprises	CNNVD-202212-2795
	Rukovoditel	CNNVD-202212-1937
	WordPress基金会	CNNVD-202212-2432
		CNNVD-202212-2927
		CNNVD-202212-3347
		CNNVD-202212-3535
	个人开发者	CNNVD-202212-1812
		CNNVD-202212-1866
		CNNVD-202212-1933
		CNNVD-202212-1934
		CNNVD-202212-2186
		CNNVD-202212-2187
		CNNVD-202212-2628
		CNNVD-202212-2817
		CNNVD-202212-3140
		CNNVD-202212-3278
		CNNVD-202212-3279
		CNNVD-202212-3284
		CNNVD-202212-3438
		CNNVD-202212-3447
		CNNVD-202212-3470
		CNNVD-202212-3477
		CNNVD-202212-3548
		CNNVD-202212-3879
	标点信息科技	CNNVD-202212-2192
	铭飞	CNNVD-202212-2766
代码问题	3D City Database	CNNVD-202212-3496	Apache Tapestry 代码问题漏洞（CNNVD-202212-1863）
	Apache基金会	CNNVD-202212-1863
	Apache基金会	CNNVD-202212-3143
	IBM	CNNVD-202212-3585
	Jenkins	CNNVD-202212-2625
	Proxmox	CNNVD-202212-2202
	Rocket Software	CNNVD-202212-1851
	TYPO3	CNNVD-202212-3296
	WordPress基金会	CNNVD-202212-2614
		CNNVD-202212-2917
		CNNVD-202212-2925
		CNNVD-202212-2931
	个人开发者	CNNVD-202212-1820
		CNNVD-202212-2182
		CNNVD-202212-2185
		CNNVD-202212-2645
		CNNVD-202212-3320
		CNNVD-202212-3445
		CNNVD-202212-3605
		CNNVD-202212-3787
	前端矿工	CNNVD-202212-2183
	南昌卓蓝科技有限公司	CNNVD-202212-2656
授权问题	Hewlett Packard Enterprise	CNNVD-202212-2870	Hewlett Packard Enterprise OfficeConnect 授权问题漏洞（CNNVD-202212-2870）
	Veeam	CNNVD-202212-2480
	authentik	CNNVD-202212-1877
	个人开发者	CNNVD-202212-3750
	个人开发者	CNNVD-202212-3810
	华为	CNNVD-202212-2493
操作系统命令注入	Brave	CNNVD-202212-3931	Seagate Central NAS 操作系统命令注入漏洞（CNNVD-202212-2581）
	Contec	CNNVD-202212-3393
	Seagate	CNNVD-202212-2581
	Telos Alliance	CNNVD-202212-1861
	netgate	CNNVD-202212-3648
	个人开发者	CNNVD-202212-2424
		CNNVD-202212-2428
		CNNVD-202212-2627
		CNNVD-202212-2818
		CNNVD-202212-3591
		CNNVD-202212-3711
		CNNVD-202212-3805
	华硕	CNNVD-202212-1805
缓冲区错误	Avast	CNNVD-202212-2662	Avast Antivirus 缓冲区错误漏洞（CNNVD-202212-2662）
	Google	CNNVD-202212-2402
		CNNVD-202212-2404
		CNNVD-202212-2610
		CNNVD-202212-2611
	MikroTik	CNNVD-202212-2438
	MikroTik	CNNVD-202212-2439
	Neutrinolabs	CNNVD-202212-2774
		CNNVD-202212-2776
		CNNVD-202212-2777
		CNNVD-202212-2778
		CNNVD-202212-2781
	OpenImageIO	CNNVD-202212-3767
	OpenImageIO	CNNVD-202212-3774
	Vim	CNNVD-202212-1929
	Vim	CNNVD-202212-2184
	个人开发者	CNNVD-202212-3396
		CNNVD-202212-3573
		CNNVD-202212-3574
		CNNVD-202212-3589
		CNNVD-202212-3639
	乐为创新科技	CNNVD-202212-2529
	华为	CNNVD-202212-2497
		CNNVD-202212-2506
		CNNVD-202212-2513
		CNNVD-202212-2514
		CNNVD-202212-2520
		CNNVD-202212-2524
	腾达	CNNVD-202212-1900
		CNNVD-202212-1901
		CNNVD-202212-1903
		CNNVD-202212-1999
		CNNVD-202212-2065
	飞桨	CNNVD-202212-2641
访问控制错误	BEApps	CNNVD-202212-2508	SICK SIM2000ST 访问控制错误漏洞（CNNVD-202212-3421）
	SICK	CNNVD-202212-3421
	Telepad	CNNVD-202212-2436
	thisAAY	CNNVD-202212-2509
资源管理错误	Linux基金会	CNNVD-202212-3802	Linux kernel 资源管理错误漏洞（CNNVD-202212-3802）
资源管理错误	开放原子开源基金会	CNNVD-202212-3560	Linux kernel 资源管理错误漏洞（CNNVD-202212-3802）
输入验证错误	Neutrinolabs	CNNVD-202212-2775	TIBCO Software Nimbus 输入验证错误漏洞（CNNVD-202212-2605）
	OTRS	CNNVD-202212-3515
	TIBCO Software	CNNVD-202212-2605
	个人开发者	CNNVD-202212-2534
	个人开发者	CNNVD-202212-3712

1、WordPress plugin Dokan SQL注入漏洞（CNNVD-202212-2927）

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

WordPressplugin Dokan 3.7.6之前版本存在SQL注入漏洞，该漏洞源于在SQL语句使用参数之前没有正确地对其进行清理和转义。攻击者利用该漏洞执行SQL注入攻击。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://wpscan.com/vulnerability/fd416d99-1970-418f-81f5-8438490d4479

2、Apache Tapestry 代码问题漏洞（CNNVD-202212-1863）

ApacheTapestry是美国阿帕奇（Apache）基金会的一款使用Java语言编写的Web应用程序框架。

ApacheTapestry 3.x版本存在代码问题漏洞，该漏洞源于其允许对不受信任的数据进行反序列化导致攻击者可以实现远程代码执行。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://lists.apache.org/thread/bwn1vjrvz1hq0wbdzj23wz322244swhj

3、Hewlett Packard Enterprise OfficeConnect 授权问题漏洞（CNNVD-202212-2870）

HewlettPackard Enterprise OfficeConnect是美国慧与（Hewlett Packard Enterprise）公司的一系列交换机。

HewlettPackard Enterprise OfficeConnect 1820、1850 和1920S Network switches存在安全漏洞，该漏洞源于发现了一个潜在的安全漏洞，该漏洞可被远程利用以绕过身份验证，以下产品和版本受到影响：PT.02.14 之前版本、在 PC.01.22 之前版本；、在PO.01.21 之前版本、在 PD.02.22 之前版本。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbnw04383en_us

4、Seagate Central NAS 操作系统命令注入漏洞（CNNVD-202212-2581）

SeagateCentral NAS是美国希捷（Seagate）公司的一系列网络存储设备。

  SeagateCentral NAS STCG2000300、STCG3000300和 STCG4000300 存在安全漏洞，该漏洞源于Web管理应用程序允许通过利用“开始”状态并发送 check_device_name 请求，攻击者利用该漏洞可以通过 cirrus/application/helpers/mv_backend_helper.php 中的 mv_backend_launch 注入操作系统命令。

  目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.seagate.com/

5、Avast Antivirus 缓冲区错误漏洞（CNNVD-202212-2662）

AvastAntivirus是捷克Avast公司的一套杀毒软件。

AvastAntivirus Script Shield 组件版本18.0.1473.0 及之前版本存在缓冲区错误漏洞，该漏洞源于加载Avast DLL 库时发生堆损坏而导致 MozillaFirefox 浏览器崩溃。

  目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://www.avast.com/

6、SICK SIM2000ST 访问控制错误漏洞（CNNVD-202212-3421）

SICKSIM2000ST是德国西克（SICK）公司的一款传感器集成机。

SICKSIM2000ST Partnumber 2086502 固件版本1.13.4之前版本存在安全漏洞，该漏洞源于允许无特权的远程攻击者通过调用密码恢复机制方法来访问定义为 RecoverableUserLevel 的用户级别，这导致他们在系统上的特权增加，从而影响系统的机密性完整性和可用性。

  目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：

https://sick.com/psirt

7、Linux kernel 资源管理错误漏洞（CNNVD-202212-3802）

Linuxkernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linuxkernel存在安全漏洞，该漏洞源于ksmbd 中发现了一个问题，fs/ksmbd/smb2pdu.c 有一个释放后重用和 SMB2_TREE_DISCONNECT 的 OOPS。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=cf6531d98190fa2cf92a6d8bbc8af0a4740a223c

8、TIBCO Software Nimbus 输入验证错误漏洞（CNNVD-202212-2605）

TIBCOSoftware Nimbus是美国TIBCO Software公司的用于流程文档的业务应用程序。

TIBCOSoftware Nimbus 10.5.0版本存在安全漏洞，该漏洞源于WebClient组件存在问题，允许具有网络访问权限的未经身份验证的攻击者利用受影响系统上的开放重定向。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.tibco.com/support/advisories/2022/12/tibco-security-advisory-december-6-2022-tibco-nimbus-cve-2022-41559
1.4.2 高危漏洞实例
2022年12月高危漏洞共762个，其中重要漏洞实例如表6所示。

表6  2022年12月高危漏洞实例

漏洞类型	厂商	CNNVD编号	漏洞实例
SQL注入	AeroCMS	CNNVD-202212-3092	Fortinet FortiADC SQL注入漏洞（CNNVD-202212-2593）
	BigCommerec	CNNVD-202212-2810
	Cube.js	CNNVD-202212-2801
	Fortinet	CNNVD-202212-2593
	MAKU	CNNVD-202212-2642
	Planet Enterprises	CNNVD-202212-2794
		CNNVD-202212-2796
		CNNVD-202212-2797
		CNNVD-202212-2800
	Rainy	CNNVD-202212-2842
	WordPress基金会	CNNVD-202212-2457
		CNNVD-202212-2460
		CNNVD-202212-2467
		CNNVD-202212-2918
		CNNVD-202212-2924
		CNNVD-202212-3923
	个人开发者	CNNVD-202212-1904
		CNNVD-202212-1905
		CNNVD-202212-1906
		CNNVD-202212-1908
		CNNVD-202212-2191
		CNNVD-202212-2517
		CNNVD-202212-2643
		CNNVD-202212-2785
		CNNVD-202212-2826
		CNNVD-202212-3252
		CNNVD-202212-3255
		CNNVD-202212-3256
		CNNVD-202212-3257
		CNNVD-202212-3258
		CNNVD-202212-3259
		CNNVD-202212-3260
		CNNVD-202212-3261
		CNNVD-202212-3262
		CNNVD-202212-3276
		CNNVD-202212-3290
		CNNVD-202212-3291
		CNNVD-202212-3517
		CNNVD-202212-3582
		CNNVD-202212-3877
		CNNVD-202212-3886
代码问题	AeroCMS	CNNVD-202212-3407	Symantec Identity Manager 代码问题漏洞（CNNVD-202212-3417）
	Apache基金会	CNNVD-202212-3564
	Autodesk	CNNVD-202212-3557
	Esri	CNNVD-202212-4112
	Exact	CNNVD-202212-3395
	FFmpeg	CNNVD-202212-3422
	Google	CNNVD-202212-3135
	HP	CNNVD-202212-2869
	JetBrains	CNNVD-202212-2740
	OpenEMR	CNNVD-202212-3357
	OpenImageIO	CNNVD-202212-3770
	SAP	CNNVD-202212-2963
	Siemens	CNNVD-202212-3100
	Symantec	CNNVD-202212-3417
	Synacor	CNNVD-202212-2476
	WordPress基金会	CNNVD-202212-2468
		CNNVD-202212-2915
		CNNVD-202212-2916
		CNNVD-202212-2928
		CNNVD-202212-2938
		CNNVD-202212-3534
		CNNVD-202212-3921
	个人开发者	CNNVD-202212-2600
		CNNVD-202212-2629
		CNNVD-202212-2832
		CNNVD-202212-2848
		CNNVD-202212-2948
		CNNVD-202212-3325
		CNNVD-202212-3332
		CNNVD-202212-3333
		CNNVD-202212-3473
		CNNVD-202212-3816
		CNNVD-202212-4097
	华为	CNNVD-202212-2485
	顶想信息科技	CNNVD-202212-2576
授权问题	Auth0	CNNVD-202212-3058	OnCommand Insight 授权问题漏洞（CNNVD-202212-3653）
	Buffalo	CNNVD-202212-2638
	Devolutions	CNNVD-202212-3677
	IFM	CNNVD-202212-2844
	JetBrains	CNNVD-202212-2739
	Mobatek	CNNVD-202212-2528
	Mozilla基金会	CNNVD-202212-3749
	NetApp	CNNVD-202212-3653
	Secomea	CNNVD-202212-2763
	UNIMO Technology	CNNVD-202212-1856
	个人开发者	CNNVD-202212-3806
	个人开发者	CNNVD-202212-4061
操作系统命令注入	Buffalo	CNNVD-202212-2829	Buffalo network devices 操作系统命令注入漏洞（CNNVD-202212-2829）
	IBM	CNNVD-202212-2602
	PAX Technology	CNNVD-202212-3440
	Sophos	CNNVD-202212-1825
	UNIMO Technology	CNNVD-202212-1855
	个人开发者	CNNVD-202212-2636
	台达电子	CNNVD-202212-3230
	台达电子	CNNVD-202212-3231
	雄迈科技	CNNVD-202212-1800
缓冲区错误	ASUS	CNNVD-202212-3272	Cisco IP Phone 缓冲区错误漏洞（CNNVD-202212-2749）
Apple	CNNVD-202212-3020
	CNNVD-202212-3021
	CNNVD-202212-3022
	CNNVD-202212-3024
	CNNVD-202212-3025
	CNNVD-202212-3027
	CNNVD-202212-3028
	CNNVD-202212-3030
	CNNVD-202212-3031
	CNNVD-202212-3040
	CNNVD-202212-3115
	CNNVD-202212-3336
	CNNVD-202212-3343
Asterisk	CNNVD-202212-2138
Autodesk	CNNVD-202212-3555
Autodesk	CNNVD-202212-3556
Cisco	CNNVD-202212-2749
Dromara社区	CNNVD-202212-3129
	CNNVD-202212-3130
	CNNVD-202212-3131
Fuji Electric	CNNVD-202212-3660
GPAC	CNNVD-202212-2531
Google	CNNVD-202212-2224
	CNNVD-202212-2249
	CNNVD-202212-2253
	CNNVD-202212-2269
	CNNVD-202212-2275
	CNNVD-202212-2279
	CNNVD-202212-2281
	CNNVD-202212-2287
	CNNVD-202212-2304
	CNNVD-202212-2337
	CNNVD-202212-2372
	CNNVD-202212-2406
	CNNVD-202212-2412
HCL Technologies	CNNVD-202212-3510
	CNNVD-202212-3511
	CNNVD-202212-3512
	CNNVD-202212-3513
IBM	CNNVD-202212-2644
	CNNVD-202212-3507
	CNNVD-202212-3508
Linux基金会	CNNVD-202212-3479
	CNNVD-202212-3480
	CNNVD-202212-3481
	CNNVD-202212-3482
	CNNVD-202212-3799
	CNNVD-202212-3801
NVIDIA	CNNVD-202212-2616
OpenImageIO	CNNVD-202212-3771
PowerISO	CNNVD-202212-2661
Qualcomm	CNNVD-202212-3330
Siemens	CNNVD-202212-3081
	CNNVD-202212-3082
	CNNVD-202212-3083
	CNNVD-202212-3085
	CNNVD-202212-3086
	CNNVD-202212-3095
	CNNVD-202212-3104
	CNNVD-202212-3108
	CNNVD-202212-3109
	CNNVD-202212-3110
	CNNVD-202212-3111
TRENDnet	CNNVD-202212-2655
Trend Micro	CNNVD-202212-2852
Trend Micro	CNNVD-202212-2857
VMware	CNNVD-202212-2970
X.Org基金会	CNNVD-202212-3270
	CNNVD-202212-3280
	CNNVD-202212-3281
个人开发者	CNNVD-202212-3128
	CNNVD-202212-3132
	CNNVD-202212-3248
	CNNVD-202212-3471
	CNNVD-202212-3566
中兴通讯	CNNVD-202212-2901
华为	CNNVD-202212-2502
华为	CNNVD-202212-2526
腾达	CNNVD-202212-1798
	CNNVD-202212-2676
	CNNVD-202212-2677
	CNNVD-202212-2678
	CNNVD-202212-2679
	CNNVD-202212-2680
	CNNVD-202212-2681
	CNNVD-202212-2682
	CNNVD-202212-2683
	CNNVD-202212-2684
	CNNVD-202212-2685
	CNNVD-202212-2686
	CNNVD-202212-2687
	CNNVD-202212-2688
	CNNVD-202212-2689
	CNNVD-202212-2690
	CNNVD-202212-2691
	CNNVD-202212-2692
	CNNVD-202212-2693
	CNNVD-202212-2694
	CNNVD-202212-2696
	CNNVD-202212-2698
	CNNVD-202212-2699
	CNNVD-202212-2700
	CNNVD-202212-2706
	CNNVD-202212-2900
	CNNVD-202212-3432
访问控制错误	OpenEMR	CNNVD-202212-3458	Rockwell Automation Studio 5000 Logix Designer 访问控制错误漏洞（CNNVD-202212-3803）
	Rockwell Automation	CNNVD-202212-3803
	个人开发者	CNNVD-202212-3809
		CNNVD-202212-3818
		CNNVD-202212-3974
		CNNVD-202212-4055
		CNNVD-202212-4059
		CNNVD-202212-4081
		CNNVD-202212-4084
资源管理错误	ARM	CNNVD-202212-2943	ARM Mali GPU Kernel Driver 资源管理错误漏洞（CNNVD-202212-2943）
	Apple	CNNVD-202212-3033
	ChainSafe	CNNVD-202212-2657
	Dromara	CNNVD-202212-3437
	Google	CNNVD-202212-2271
		CNNVD-202212-2318
		CNNVD-202212-2325
		CNNVD-202212-2344
		CNNVD-202212-2357
		CNNVD-202212-2387
		CNNVD-202212-2388
		CNNVD-202212-2389
		CNNVD-202212-2390
		CNNVD-202212-2391
		CNNVD-202212-2394
		CNNVD-202212-2395
		CNNVD-202212-2396
		CNNVD-202212-2397
		CNNVD-202212-3176
		CNNVD-202212-3177
		CNNVD-202212-3180
		CNNVD-202212-3183
		CNNVD-202212-3187
	Helm	CNNVD-202212-3328
	MirageOS	CNNVD-202212-2651
	Omron	CNNVD-202212-3593
	Siemens	CNNVD-202212-3077
		CNNVD-202212-3096
		CNNVD-202212-3107
	Vim	CNNVD-202212-1907
	Vim	CNNVD-202212-2474
	X.Org基金会	CNNVD-202212-3271
		CNNVD-202212-3274
		CNNVD-202212-3283
	libp2p	CNNVD-202212-2654
	libp2p	CNNVD-202212-2665
	个人开发者	CNNVD-202212-3710
		CNNVD-202212-3780
		CNNVD-202212-3965
	华为	CNNVD-202212-2488
输入验证错误	Apache基金会	CNNVD-202212-3125	NETGEAR Nighthawk 输入验证错误漏洞（CNNVD-202212-3436）
	Apple	CNNVD-202212-3344
	Google	CNNVD-202212-2209
		CNNVD-202212-2261
		CNNVD-202212-2262
		CNNVD-202212-2263
		CNNVD-202212-2288
		CNNVD-202212-2289
		CNNVD-202212-2298
		CNNVD-202212-2299
		CNNVD-202212-2301
		CNNVD-202212-2302
		CNNVD-202212-2340
		CNNVD-202212-2365
		CNNVD-202212-2370
		CNNVD-202212-2392
		CNNVD-202212-2405
		CNNVD-202212-3410
	Juniper Networks	CNNVD-202212-3782
	NETGEAR	CNNVD-202212-3436
	OpenEMR	CNNVD-202212-3359
	Paul	CNNVD-202212-3502
	Qualcomm	CNNVD-202212-3118
	Rockwell Automation	CNNVD-202212-2788
	Rockwell Automation	CNNVD-202212-3450
	SAMSUNG	CNNVD-202212-2718
	Secomea	CNNVD-202212-2578
	Siemens	CNNVD-202212-2985
		CNNVD-202212-2986
		CNNVD-202212-2987
		CNNVD-202212-3101
	个人开发者	CNNVD-202212-2815
	华为	CNNVD-202212-2510

1、Fortinet FortiADC SQL注入漏洞（CNNVD-202212-2593）

FortinetFortiADC是美国飞塔（Fortinet）公司的一款应用交付控制器。

FortinetFortiADC 7.1.0 、7.0.0 至 7.0.2 和6.2.4 及之前版本存在SQL注入漏洞，该漏洞源于使用的特殊元素的不当中和，攻击者利用该漏洞可以执行未经授权的代码或通过特制的 HTTP 请求发送命令。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://fortiguard.com/psirt/FG-IR-21-170

2、Symantec Identity Manager 代码问题漏洞（CNNVD-202212-3417）

SymantecIdentity Manager是美国赛门铁克（Symantec）公司的一个身份管理系统。

SymantecIdentity Manager 14.4版本存在安全漏洞，该漏洞源于经过身份验证的用户可以在管理控制台中执行XML外部实体注入。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://support.broadcom.com/external/content/SecurityAdvisories/0/21136

3、NetApp OnCommand Insight 授权问题漏洞（CNNVD-202212-3653）

NetAppOncommand Insight是美国网络器械（NetApp）公司的一套混合云数据中心管理软件。该软件提供监控和管理多供应商IT基础架构、优化存储资源管理等功能。

OnCommandInsight 7.3.1版本至7.3.14版本存在安全漏洞，该漏洞源于容易受到数据仓库组件中身份验证绕过漏洞的影响。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://security.netapp.com/advisory/NTAP-20221220-0001/

4、Buffalo network devices 操作系统命令注入漏洞（CNNVD-202212-2829）

Buffalonetwork devices是日本巴比禄（Buffalo）公司的一系列网络设备。

Buffalonetwork devices 存在安全漏洞，该漏洞源于未经身份验证的攻击者可以通过精心制作的恶意请求实现任意系统命令执行。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.buffalo.jp/news/detail/20221205-01.html

5、Cisco IP Phone 缓冲区错误漏洞（CNNVD-202212-2749）

CiscoIP Phone是美国思科（Cisco）公司的一个硬件设备。提供通话功能的IP电话。

CiscoIP Phone 7800和8800系列存在缓冲区错误漏洞，该漏洞源于其固件的Cisco Discovery Protocol允许未经身份验证的相邻攻击者实现栈溢出导致远程代码执行或拒绝服务。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U

6、Rockwell Automation Studio 5000 Logix Designer 访问控制错误漏洞（CNNVD-202212-3803）

RockwellAutomation Studio 5000 Logix Designer是美国罗克韦尔（Rockwell Automation）公司的一个基于 Windows 的应用程序。用于为PLC 构建程序。

RockwellAutomation Studio 5000 Logix Designer v.20-33版本存在访问控制错误漏洞，该漏洞源于用户在某些产品服务上被授予较高的权限，恶意用户有可能在目标软件上实现远程代码执行。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://compatibility.rockwellautomation.com/Pages/MultiProductSelector.aspx?crumb=111

7、ARM Mali GPU Kernel Driver 资源管理错误漏洞（CNNVD-202212-2943）

ARMMali GPU Kernel Driver是英国ARM公司的一个图形处理器单元的驱动程序。

ArmMali GPU Kernel Driver存在资源管理错误漏洞，该漏洞源于非特权用户可以通过不适当的GPU处理操作来访问已经释放的内存导致释放后重用。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

8、NETGEAR Nighthawk 输入验证错误漏洞（CNNVD-202212-3436）

NETGEARNighthawk是美国网件（NETGEAR）公司的一系列无线路由器。

NETGEARNighthawk WiFi6 Router存在输入验证错误漏洞，该漏洞源于用户输入过滤不当，攻击者利用该漏洞可以在未经身份验证的情况下在设备上执行任意命令。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://www.netgear.com/
二、漏洞平台推送情况
2022年12月漏洞平台推送漏洞74171个。

表7 2022年12月漏洞平台推送情况表

序号	漏洞平台	漏洞总量
1	补天平台	65968
2	漏洞盒子	4172
3	360漏洞云	4031
推送总计		74171

三、接报漏洞情况
2022年12月接报漏洞4368个，其中信息技术产品漏洞（通用型漏洞）619个，网络信息系统漏洞（事件型漏洞）3749个。

表8 2022年12月接报漏洞情况表

序号	报送单位	漏洞数量
1	北京山石网科信息技术有限公司	2879
2	北京赛宁网安科技有限公司	365
3	北京云科安信科技有限公司	228
4	河南听潮盛世信息技术有限公司	84
5	上海斗象信息科技有限公司	77
6	个人	69
7	远江盛邦(北京)网络安全科技股份有限公司	45
8	广州锦行网络科技有限公司	40
9	北京梆梆安全科技有限公司	33
10	北京国舜科技股份有限公司	28
11	杭州默安科技有限公司	26
12	北京长亭科技有限公司	26
13	北京华顺信安信息技术有限公司	25
14	杭州海康威视数字技术股份有限公司	23
15	苏州棱镜七彩信息科技有限公司	20
16	奇安信网神信息技术（北京）股份有限公司	20
17	杭州安恒信息技术股份有限公司	19
18	北京天融信网络安全技术有限公司	18
19	卫士通（广州）信息安全技术有限公司	16
20	杰润鸿远（北京）科技有限公司	14
21	中电信数智科技有限公司	13
22	三六零数字安全科技集团有限公司	13
23	北京六方云信息技术有限公司	13
24	长春嘉诚信息技术股份有限公司	12
25	西安四叶草信息技术有限公司	12
26	北京网御星云信息技术有限公司	12
27	北京安帝科技有限公司	12
28	神州灵云（北京）科技有限公司	11
29	安全邦（北京）信息技术有限公司	10
30	中兴通讯股份有限公司	9
31	京东科技信息技术有限公司	9
32	北京五一嘉峪科技有限公司	9
33	西安交大捷普网络科技有限公司	8
34	河南悦海数安科技有限公司	8
35	博智安全科技股份有限公司	8
36	北京微步在线科技有限公司	8
37	四维创智（北京）科技发展有限公司	7
38	北京优炫软件股份有限公司	7
39	北京永信至诚科技股份有限公司	7
40	上海安识网络科技有限公司	6
41	瑞数信息技术（上海）有限公司	6
42	内蒙古洞明科技有限公司	6
43	福建经联网络技术有限公司	6
44	统信软件技术有限公司	5
45	天津市兴先道科技有限公司	5
46	上海安几科技有限公司	5
47	南京众智维信息科技有限公司	5
48	河南灵创电子科技有限公司	5
49	北京安华金和科技有限公司	5
50	浙江大华技术股份有限公司	4
51	上海上讯信息技术股份有限公司	4
52	赛尔网络有限公司	4
53	广州竞远安全技术股份有限公司	4
54	郑州埃文计算机科技有限公司	3
55	新华三技术有限公司	3
56	山东泽鹿安全技术有限公司	3
57	内蒙古御网科技有限责任公司	3
58	南京仞安信息技术有限公司	3
59	河南天祺信息安全技术有限公司	3
60	北京中测安华科技有限公司	3
61	北京网猿科技有限公司	3
62	北京金睛云华科技有限公司	3
63	深圳海云安网络安全技术有限公司	2
64	上海齐同信息科技有限公司	2
65	华为技术有限公司	2
66	北京墨云科技有限公司	2
67	北京兰云科技有限公司	2
68	北京安信天行科技有限公司	2
69	安徽华云安科技有限公司	2
70	中能融合智慧科技有限公司	1
71	长扬科技（北京）股份有限公司	1
72	天翼数智科技（北京）有限公司	1
73	深圳市深信服信息安全有限公司	1
74	深信服科技股份有限公司	1
75	上海矢安科技有限公司	1
76	上海谋乐网络科技有限公司	1
77	内蒙古信元网络安全技术股份有限公司	1
78	江苏保旺达软件技术有限公司	1
79	杭州迪普科技股份有限公司	1
80	广东为辰信息科技有限公司	1
81	北京知道创宇信息技术股份有限公司	1
82	北京星阑科技有限公司	1
83	北京启明星辰信息安全技术有限公司	1
报送合计		4368

四、重大漏洞通报4.1Fortinet FortiOS安全漏洞的通报
  近日，国家信息安全漏洞库（CNNVD）收到关于FortinetFortiOS 安全漏洞（CNNVD-202212-2946、CVE-2022-42475）情况的报送。成功利用漏洞的攻击者，可向目标设备发送特殊请求，从而远程执行恶意代码。FortiOS7.2.0-7.2.2、FortiOS 7.0.0-7.0.8、FortiOS6.4.0-6.4.10、FortiOS 6.2.0-6.2.11、FortiOS-6K7K7.0.0-7.0.7、FortiOS-6K7K 6.4.0-6.4.9、FortiOS-6K7K6.2.0-6.2.11、FortiOS-6K7K 6.0.0-6.0.14等版本均受此漏洞影响。目前，Fortinet官方已经发布了修复漏洞的升级版本，建议用户及时确认产品版本，尽快采取修补措施。

. 漏洞介绍

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS 存在安全漏洞，攻击者可利用该漏洞在未经身份认证的情况下，通过发送恶意数据导致堆缓冲区溢出，从而实现远程代码执行。

. 危害影响

  成功利用漏洞的攻击者，可向目标设备发送特殊请求，从而远程执行恶意代码。FortiOS7.2.0-7.2.2、FortiOS 7.0.0-7.0.8、FortiOS6.4.0-6.4.10、FortiOS 6.2.0-6.2.11、FortiOS-6K7K7.0.0-7.0.7、FortiOS-6K7K 6.4.0-6.4.9、FortiOS-6K7K6.2.0-6.2.11、FortiOS-6K7K 6.0.0-6.0.14等版本均受此漏洞影响。

. 修复建议

  目前，Fortinet官方已发布新版本修复了该漏洞，请用户及时确认是否受到漏洞影响，尽快采取修补措施。官方链接如下：

https://www.fortiguard.com/psirt/FG-IR-22-398
4.2 微软多个安全漏洞的通报
  近日，微软官方发布了56个安全漏洞的公告，包括Microsoft GraphicsComponent 安全漏洞（CNNVD-202212-3145、CVE-2022-26804）、Microsoft Graphics Component 安全漏洞（CNNVD-202212-3123、CVE-2022-26805）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

. 漏洞介绍

2022年12月13日，微软发布了2022年12月份安全更新，共56个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了MicrosoftWindows 和 Windows 组件、MicrosoftWindows Fax Compose Form、Microsoft Windows Hyper-V、MicrosoftWindows Print Spooler Components、Microsoft Windows DirectX、MicrosoftWindows Error Reporting等。CNNVD对其危害等级进行了评价，其中高危漏洞45个，中危漏洞10个，低危漏洞1个。微软多个产品和系统版本受漏洞影响，具体影响范围可访问

https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

. 漏洞详情

  此次更新共包括48个新增漏洞的补丁程序，其中高危漏洞40个，中危漏洞8个。

序号	漏洞名称	CNNVD 编号	CVE 编号	危害等级	官方链接
1	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3145	CVE-2022-26804	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26804
2	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3123	CVE-2022-26805	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26805
3	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3122	CVE-2022-26806	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26806
4	Microsoft Windows PowerShell 安全漏洞	CNNVD-202212-3016	CVE-2022-41076	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41076
5	Microsoft Windows Fax Compose Form 安全漏洞	CNNVD-202212-3014	CVE-2022-41077	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41077
6	Microsoft .NET Framework 安全漏洞	CNNVD-202212-2976	CVE-2022-41089	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41089
7	Microsoft Windows Hyper-V 安全漏洞	CNNVD-202212-3013	CVE-2022-41094	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41094
8	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3012	CVE-2022-41121	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41121
9	Microsoft Dynamics 安全漏洞	CNNVD-202212-3159	CVE-2022-41127	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41127
10	Microsoft Windows Contacts 安全漏洞	CNNVD-202212-3011	CVE-2022-44666	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44666
11	Microsoft Windows Codecs Library 安全漏洞	CNNVD-202212-3009	CVE-2022-44667	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44667
12	Microsoft Windows Codecs Library 安全漏洞	CNNVD-202212-3010	CVE-2022-44668	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44668
13	Microsoft Windows Error Reporting 安全漏洞	CNNVD-202212-3007	CVE-2022-44669	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44669
14	Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞	CNNVD-202212-3006	CVE-2022-44670	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44670
15	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3004	CVE-2022-44671	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44671
16	Microsoft Client Server Run-time Subsystem (CSRSS) 安全漏洞	CNNVD-202212-3003	CVE-2022-44673	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44673
17	Microsoft Bluetooth Driver 安全漏洞	CNNVD-202212-3001	CVE-2022-44675	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44675
18	Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞	CNNVD-202212-2999	CVE-2022-44676	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44676
19	Microsoft Projected File System 安全漏洞	CNNVD-202212-2996	CVE-2022-44677	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44677
20	Microsoft Windows Print Spooler Components 安全漏洞	CNNVD-202212-2992	CVE-2022-44678	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44678
21	Microsoft Graphics Component 安全漏洞	CNNVD-202212-2991	CVE-2022-44680	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44680
22	Microsoft Windows Print Spooler Components 安全漏洞	CNNVD-202212-2993	CVE-2022-44681	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44681
23	Microsoft Windows Kernel 安全漏洞	CNNVD-202212-2981	CVE-2022-44683	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44683
24	Microsoft Windows Codecs Library 安全漏洞	CNNVD-202212-3152	CVE-2022-44687	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44687
25	Microsoft Windows Subsystem for Linux 安全漏洞	CNNVD-202212-2980	CVE-2022-44689	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44689
26	Microsoft SharePoint 安全漏洞	CNNVD-202212-3018	CVE-2022-44690	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44690
27	Microsoft Office 安全漏洞	CNNVD-202212-3121	CVE-2022-44691	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44691
28	Microsoft Office 安全漏洞	CNNVD-202212-3098	CVE-2022-44692	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44692
29	Microsoft SharePoint 安全漏洞	CNNVD-202212-3017	CVE-2022-44693	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44693
30	Microsoft Office Visio 安全漏洞	CNNVD-202212-3084	CVE-2022-44694	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44694
31	Microsoft Office Visio 安全漏洞	CNNVD-202212-3070	CVE-2022-44695	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44695
32	Microsoft Office Visio 安全漏洞	CNNVD-202212-3057	CVE-2022-44696	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44696
33	Microsoft Graphics Component 安全漏洞	CNNVD-202212-2979	CVE-2022-44697	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44697
34	Microsoft Windows Terminal 安全漏洞	CNNVD-202212-3149	CVE-2022-44702	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44702
35	Microsoft SysInternals 安全漏洞	CNNVD-202212-3148	CVE-2022-44704	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44704
36	Microsoft Windows DirectX 安全漏洞	CNNVD-202212-2978	CVE-2022-44710	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44710
37	Microsoft Outlook 安全漏洞	CNNVD-202212-3053	CVE-2022-44713	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44713
38	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3050	CVE-2022-47211	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47211
39	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3046	CVE-2022-47212	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47212
40	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3044	CVE-2022-47213	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47213
41	Microsoft Outlook 安全漏洞	CNNVD-202212-3157	CVE-2022-24480	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24480
42	Microsoft Graphics Component 安全漏洞	CNNVD-202212-3015	CVE-2022-41074	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41074
43	Microsoft Bluetooth Driver 安全漏洞	CNNVD-202212-3002	CVE-2022-44674	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44674
44	Microsoft Graphics Component 安全漏洞	CNNVD-202212-2997	CVE-2022-44679	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44679
45	Microsoft Windows Hyper-V 安全漏洞	CNNVD-202212-2983	CVE-2022-44682	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44682
46	Microsoft Windows SmartScreen 安全漏洞	CNNVD-202212-2977	CVE-2022-44698	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44698
47	Microsoft Azure 安全漏洞	CNNVD-202212-3150	CVE-2022-44699	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44699
48	Microsoft Windows Kernel 安全漏洞	CNNVD-202212-2975	CVE-2022-44707	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44707

此次更新共包括8个更新漏洞的补丁程序，其中高危漏洞5个，中危漏洞2个，低危漏洞1个。

序号	漏洞名称	CNNVD 编号	CVE 编号	危害等级	官方链接
1	Microsoft SPNEGO Extended Negotiation 安全漏洞	CNNVD-202209-818	CVE-2022-37958	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37958
2	Microsoft Windows Kerberos 安全漏洞	CNNVD-202211-2288	CVE-2022-37967	高危	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967
3	Microsoft Windows Active Directory 安全漏洞	CNNVD-202210-594	CVE-2022-38042	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38042
4	Microsoft Exchange Server 安全漏洞	CNNVD-202211-2394	CVE-2022-41078	高危	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41078
5	Microsoft Exchange Server 安全漏洞	CNNVD-202211-2380	CVE-2022-41079	高危	https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41079
6	Microsoft Windows Defender 安全漏洞	CNNVD-202208-2556	CVE-2022-34704	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34704
7	Microsoft Windows Portable Device Enumerator Service 安全漏洞	CNNVD-202210-458	CVE-2022-38032	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38032
8	Microsoft Office 安全漏洞	CNNVD-202210-403	CVE-2022-41043	低危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41043

. 修复建议

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方补丁下载地址：

https://msrc.microsoft.com/update-guide/en-us

信息安全漏洞月报2022年12月

指导单位

旗下站点

联系我们