信息安全漏洞月报（2022年10月）

阅读模式 · 发表于 2022-11-3 15:46:24

漏洞态势

  根据国家信息安全漏洞库（CNNVD）统计，2022年10月份采集安全漏洞共2001个。

  本月接报漏洞51286个，其中信息技术产品漏洞（通用型漏洞）705个，网络信息系统漏洞（事件型漏洞）50581个，其中漏洞平台推送漏洞48742个。

重大漏洞通报

  Fortinet FortiOS 安全漏洞（CNNVD-202210-347、CVE-2022-40684）：成功利用漏洞的攻击者，可在未经身份验证的情况下获得对管理界面的访问权限，从而最终控制目标系统。Fortinet FortiOS多个版本均受此漏洞影响。目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

  微软官方发布公告更新了Microsoft Azure Kubernetes 安全漏洞（CNNVD-202210-553、CVE-2022-37968）、MicrosoftExchange Server 安全漏洞（CNNVD-202208-2493、CVE-2022-21980）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

漏洞态势
一、公开漏洞情况
  根据国家信息安全漏洞库（CNNVD）统计，2022年10月份新增安全漏洞共2001个，从厂商分布来看，WordPress基金会公司产品的漏洞数量最多，共发布86个；从漏洞类型来看，缓冲区错误类的漏洞占比最大，达到13.24%。本月新增漏洞中，超危漏洞319个、高危漏洞769个、中危漏洞871个、低危漏洞42个，相应修复率分别为61.44%、75.81%、76.00%以及95.24%。合计1481个漏洞已有修复补丁发布，本月整体修复率74.01%。

  截至2022年10月31日，CNNVD采集漏洞总量已达195428个。
1.1 漏洞增长概况
  2022年10月新增安全漏洞2001个，与上月（2133个）相比减少了6.19%。根据近6个月来漏洞新增数量统计图，平均每月漏洞数量达到2115个。

图1 2022年5月至2022年10月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
2022年10月厂商漏洞数量分布情况如表1所示，WordPress基金会公司漏洞达到86个，占本月漏洞总量的4.30%。

表1 2022年10月排名前十厂商新增安全漏洞统计表

序号	厂商名称	漏洞数量（个）	所占比例
1	WordPress基金会	86	4.30%
2	Microsoft	85	4.25%
3	Apple	82	4.10%
4	Oracle	80	4.00%
5	Google	76	3.80%
6	Linux基金会	57	2.85%
7	SAP	55	2.75%
8	Juniper Networks	37	1.85%
9	Autodesk	36	1.80%
10	Adobe	33	1.65%

1.2.2 漏洞产品分布
2022年10月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共68个，WindowsServer 2022漏洞数量最多，共66个，占主流操作系统漏洞总量的9.13%，排名第一。

表2 2022年10月主流操作系统漏洞数量统计

序号	操作系统名称	漏洞数量
1	Windows Server 2022	66
2	Windows 11	66
3	Windows 10	64
4	Windows Server 2019	61
5	Linux Kernel	55
6	Windows Server 2016	54
7	Windows Server 2012	50
8	Windows Server 2012 R2	50
9	Windows 8.1	49
10	Windows Rt 8.1	49
11	Windows Server 2008	44
12	Windows Server 2008 R2	44
13	Windows 7	43
14	Apple iOS	25
15	Android	3

1.2.3 漏洞类型分布
2022年10月份发布的漏洞类型分布如表3所示，其中缓冲区错误类漏洞所占比例最大，约为13.24%。

表3 2022年10月漏洞类型统计表

序号	漏洞类型	漏洞数量（个）	所占比例
1	缓冲区错误	265	13.24%
2	跨站脚本	168	8.40%
3	代码问题	145	7.25%
4	SQL注入	101	5.05%
5	资源管理错误	67	3.35%
6	输入验证错误	60	3.00%
7	路径遍历	39	1.95%
8	命令注入	31	1.55%
9	跨站请求伪造	30	1.50%
10	操作系统命令注入	29	1.45%
11	授权问题	27	1.35%
12	信息泄露	19	0.95%
13	访问控制错误	19	0.95%
14	竞争条件问题	17	0.85%
15	信任管理问题	14	0.70%
16	格式化字符串错误	14	0.70%
17	数据伪造问题	10	0.50%
18	代码注入	8	0.40%
19	注入	7	0.35%
20	加密问题	6	0.30%
21	日志信息泄露	4	0.20%
22	后置链接	3	0.15%
23	安全特征问题	3	0.15%
24	参数注入	2	0.10%
25	数字错误	1	0.05%
26	环境问题	1	0.05%
27	其他	911	45.53%

1.2.4 漏洞危害等级分布
根据漏洞的影响范围、利用方式、攻击后果等情况，从高到低可将其分为四个危害等级，即超危、高危、中危和低危级别。2022年10月漏洞危害等级分布如图2所示，其中超危漏洞319条，占本月漏洞总数的15.94%。

图2 2022年10月漏洞危害等级分布
1.3漏洞修复情1.3.1 整体修复情况
2022年10月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高，达到95.24%，超危漏洞修复率最低，比例为61.44%。

总体来看，本月整体修复率由上月的72.57%上升至本月的74.01%。

图3 2022年10月漏洞修复数量统计
1.3.2 厂商修复情况
2022年10月漏洞修复情况按漏洞数量前十厂商进行统计，其中WordPress基金会、Microsoft、Apple等十个厂商共627条漏洞，占本月漏洞总数的31.33%，漏洞修复率为84.21%，详细情况见表4。多数知名厂商对产品安全高度重视，产品漏洞修复比较及时，其中Microsoft、Apple、Oracle、SAP、Autodesk、Adobe等公司本月漏洞修复率均为100%，共528条漏洞已全部修复。

表4 2022年10月厂商修复情况统计表

序号	厂商名称	漏洞数量（个）	修复数量	修复率
1	WordPress基金会	86	79	91.86%
2	Microsoft	85	85	100.00%
3	Apple	82	82	100.00%
4	Oracle	80	80	100.00%
5	Google	76	22	28.95%
6	Linux基金会	57	54	94.74%
7	SAP	55	55	100.00%
8	Juniper Networks	37	2	5.41%
9	Autodesk	36	36	100.00%
10	Adobe	33	33	100.00%

1.4 重要漏洞实例1.4.1 超危漏洞实例
2022年10月超危漏洞共319个，其中重要漏洞实例如表5所示。

表5 2022年10月超危漏洞实例

漏洞类型	厂商	CNNVD编号	漏洞实例
SQL注入	B.C. Institute of Technology	CNNVD-202210-254	Veritas NetBackup SQL注入漏洞（CNNVD-202210-059）
		CNNVD-202210-255
		CNNVD-202210-256
		CNNVD-202210-257
		CNNVD-202210-258
		CNNVD-202210-259
		CNNVD-202210-261
		CNNVD-202210-262
		CNNVD-202210-263
		CNNVD-202210-264
		CNNVD-202210-266
		CNNVD-202210-272
	Changing Information Technology	CNNVD-202210-1181
	Feathers	CNNVD-202210-2159
	Feathers	CNNVD-202210-2162
	OpenCart	CNNVD-202210-731
	SEMCMS	CNNVD-202210-2450
		CNNVD-202210-2452
		CNNVD-202210-2453
		CNNVD-202210-2455
	Socket.IO	CNNVD-202210-2161
	Veritas	CNNVD-202210-059
		CNNVD-202210-060
		CNNVD-202210-100
	seccome	CNNVD-202210-2436
	个人开发者	CNNVD-202210-252
		CNNVD-202210-260
		CNNVD-202210-633
		CNNVD-202210-865
		CNNVD-202210-866
		CNNVD-202210-867
		CNNVD-202210-923
		CNNVD-202210-934
		CNNVD-202210-1091
		CNNVD-202210-1212
		CNNVD-202210-1500
		CNNVD-202210-2408
		CNNVD-202210-2449
		CNNVD-202210-2465
		CNNVD-202210-2466
		CNNVD-202210-2479
		CNNVD-202210-2483
		CNNVD-202210-2485
	中国北京九思协同软件	CNNVD-202210-718
	台达电子	CNNVD-202210-2203
	台达电子	CNNVD-202210-2204
代码问题	Apache基金会	CNNVD-202210-1211	Apache Dubbo 代码问题漏洞（CNNVD-202210-1211）
	ClipperCMS团队	CNNVD-202210-846
	ClipperCMS团队	CNNVD-202210-848
	DataEase	CNNVD-202210-1737
	Democritus	CNNVD-202210-611
		CNNVD-202210-612
		CNNVD-202210-613
		CNNVD-202210-614
		CNNVD-202210-617
		CNNVD-202210-618
		CNNVD-202210-620
		CNNVD-202210-621
		CNNVD-202210-623
		CNNVD-202210-624
		CNNVD-202210-626
		CNNVD-202210-628
		CNNVD-202210-630
		CNNVD-202210-631
		CNNVD-202210-632
		CNNVD-202210-634
		CNNVD-202210-640
	Juniper Networks	CNNVD-202210-652
	Media Links	CNNVD-202210-768
	Melis Platform	CNNVD-202210-767
	Mitel	CNNVD-202210-2103
	PHPOK	CNNVD-202210-1176
	Redis Labs	CNNVD-202210-2429
	VMware	CNNVD-202210-334
	VMware	CNNVD-202210-2438
	Veritas	CNNVD-202210-057
	WordPress基金会	CNNVD-202210-2487
	Zigor Corporación	CNNVD-202210-1168
	dotPDN	CNNVD-202210-737
	dotPDN	CNNVD-202210-738
	个人开发者	CNNVD-202210-066
		CNNVD-202210-847
		CNNVD-202210-956
		CNNVD-202210-1144
		CNNVD-202210-1426
		CNNVD-202210-1685
		CNNVD-202210-1688
		CNNVD-202210-1738
		CNNVD-202210-2112
		CNNVD-202210-2407
	凯京科技	CNNVD-202210-1158
	迅易科技	CNNVD-202210-1100
授权问题	Apache基金会	CNNVD-202210-706	Apache Shiro 授权问题漏洞（CNNVD-202210-706）
	Dell	CNNVD-202210-1605
	Discourse	CNNVD-202210-2211
	Media Links	CNNVD-202210-712
	OXHOO	CNNVD-202210-1005
	Secuever	CNNVD-202210-1134
	个人开发者	CNNVD-202210-244
	个人开发者	CNNVD-202210-1733
	立端	CNNVD-202210-1691
	腾达	CNNVD-202210-1506
操作系统命令注入	Abode	CNNVD-202210-1467	FortiTester 操作系统命令注入漏洞（CNNVD-202210-1200）
		CNNVD-202210-1468
		CNNVD-202210-1507
		CNNVD-202210-1509
		CNNVD-202210-1516
		CNNVD-202210-2087
		CNNVD-202210-2088
		CNNVD-202210-2089
		CNNVD-202210-2090
		CNNVD-202210-2091
		CNNVD-202210-2092
		CNNVD-202210-2093
		CNNVD-202210-2094
	FortiTester	CNNVD-202210-1200
		CNNVD-202210-1201
		CNNVD-202210-1202
	Robustel	CNNVD-202210-1030
	个人开发者	CNNVD-202210-1735
缓冲区错误	Accusoft	CNNVD-202210-2397	Omron CX-Programmer 缓冲区错误漏洞（CNNVD-202210-127）
	Adobe	CNNVD-202210-695
		CNNVD-202210-696
		CNNVD-202210-700
		CNNVD-202210-703
	Facebook	CNNVD-202210-497
	GNU基金会	CNNVD-202210-1689
	MikroTik	CNNVD-202210-1034
	Omron	CNNVD-202210-127
		CNNVD-202210-128
		CNNVD-202210-129
	Qualcomm	CNNVD-202210-1340
	Yokogawa	CNNVD-202210-1325
	个人开发者	CNNVD-202210-003
		CNNVD-202210-1594
		CNNVD-202210-2356
		CNNVD-202210-2416
	华为	CNNVD-202210-148
		CNNVD-202210-168
		CNNVD-202210-169
		CNNVD-202210-170
		CNNVD-202210-175
	友讯	CNNVD-202210-2174
		CNNVD-202210-2176
		CNNVD-202210-2177
		CNNVD-202210-2178
		CNNVD-202210-2185
	吉翁电子	CNNVD-202210-187
	吉翁电子	CNNVD-202210-192
	宏碁	CNNVD-202210-1346
	研华	CNNVD-202210-2398
	研华	CNNVD-202210-2399
	立端	CNNVD-202210-1690
		CNNVD-202210-1692
		CNNVD-202210-1694
		CNNVD-202210-1695
		CNNVD-202210-1698
	群晖科技	CNNVD-202210-1474
	群晖科技	CNNVD-202210-1475
	腾达	CNNVD-202210-1065
		CNNVD-202210-1066
		CNNVD-202210-1068
		CNNVD-202210-1090
		CNNVD-202210-1092
		CNNVD-202210-1093
		CNNVD-202210-1095
		CNNVD-202210-1096
		CNNVD-202210-1099
		CNNVD-202210-1193
		CNNVD-202210-1412
		CNNVD-202210-1413
		CNNVD-202210-1414
		CNNVD-202210-1415
		CNNVD-202210-1416
		CNNVD-202210-1418
		CNNVD-202210-2395
访问控制错误	Abode	CNNVD-202210-1520	Abode Iota 访问控制错误漏洞（CNNVD-202210-1520）
	DAIKIN	CNNVD-202210-603
	Fortinet	CNNVD-202210-347
	Haas Automation	CNNVD-202210-2119
	个人开发者	CNNVD-202210-843
		CNNVD-202210-1455
		CNNVD-202210-1479
		CNNVD-202210-2166
	台达电子	CNNVD-202210-2098
	台达电子	CNNVD-202210-2100
	群晖科技	CNNVD-202210-2097
资源管理错误	Exim	CNNVD-202210-1525	Linux kernel 资源管理错误漏洞（CNNVD-202210-1609）
	Linux基金会	CNNVD-202210-1609
	Nginx	CNNVD-202210-2498
	curl	CNNVD-202210-2217
	华为	CNNVD-202210-171
输入验证错误	Facebook	CNNVD-202210-495	WordPress 输入验证错误漏洞（CNNVD-202210-1136）
	Google	CNNVD-202210-014
	Google	CNNVD-202210-016
	WordPress基金会	CNNVD-202210-1136
	XKCP	CNNVD-202210-1541

1. VeritasNetBackup SQL注入漏洞（CNNVD-202210-059）

Veritas NetBackup是美国Veritas公司的一个应用于为企业环境的提供备份、恢复功能的存储服务。该软件支持对勒索软件的检测和对元数据、虚拟环境等环境数据的备份保护。

Veritas NetBackup10.0 版本及之前版本存在SQL注入漏洞。目前尚无此漏洞的相关信息，请随时关注CNNVD或厂商公告。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.veritas.com/content/support/en_US/security/VTS22-011#H1

2. ApacheDubbo 代码问题漏洞（CNNVD-202210-1211）

Apache Dubbo是美国阿帕奇（Apache）基金会的一款基于Java的轻量级RPC（远程过程调用）框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。

Apache dubbohessian-lite 3.2.12版本及之前版本存在代码问题漏洞。攻击者利用该漏洞执行任意代码。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.apache.org/thread/8d3zqrkoy4jh8dy37j4rd7g9jodzlvkk

3. ApacheShiro 授权问题漏洞（CNNVD-202210-706）

Apache Shiro是美国阿帕奇（Apache）基金会的一套用于执行认证、授权、加密和会话管理的Java安全框架。

Apache Shiro 1.10.0之前版本存在授权问题漏洞，该漏洞源于攻击者通过RequestDispatcher转发或包含时可以绕过其身份认证。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

4. FortiTester操作系统命令注入漏洞（CNNVD-202210-1200）

FortiTester是FortiTester公司的一款基于 Fortinet 专业的网络流量测试工具。

FortiTester 2.3.0 到 3.9.1、4.0.0 到 4.2.0、7.0.0 到 7.1.0版本存在安全漏洞，该漏洞源于SSH 登录组件中使用的特殊元素的不适当中和,攻击者利用该漏洞可以在底层 shell 中执行任意命令。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://fortiguard.com/psirt/FG-IR-22-237

5. OmronCX-Programmer 缓冲区错误漏洞（CNNVD-202210-127）

Omron CX-Programmer是日本欧姆龙（Omron）公司的一款PLC（可编程逻辑控制器）编程软件。

Omron CX-Programmer9.78及以前版本存在缓冲区错误漏洞，该漏洞源于攻击者可以通过越界写实现任意代码执行。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.ia.omron.com/product/tool/26/cxone/e4_doc.html?_ga=2.122882383.558156545.1661312515-1562293325.1567412774#cx_programmer

6. Abode Iota访问控制错误漏洞（CNNVD-202210-1520）

Abode Iota是Abode公司的一个可靠的 Diy 家庭安全系统。

Abode Iota 6.9X 和 6.9Z 版本存在访问控制错误漏洞，该漏洞源于GHOME 控制功能中存在身份验证绕过，攻击者利用该漏洞可以发送恶意 XML 有效负载执行任意命令。

  目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://goabode.com/product/iota-security-kit

7. Linuxkernel 资源管理错误漏洞（CNNVD-202210-1609）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux kernel 存在资源管理错误漏洞，该漏洞源于内存释放后重用。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://git.kernel.org/pub/scm/linux/kernel/git/bpf/bpf-next.git/commit/?id=d325dc6eb763c10f591c239550b8c7e5466a5d09

8. WordPress 输入验证错误漏洞（CNNVD-202210-1136）

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。

WordPress 5.1版本存在输入验证错误漏洞，该漏洞源于“X-Forwarded-For”是一个HTTP头，用来携带客户端的原始IP地址，由于这些标头很可能由客户端添加到请求中，因此如果系统/设备使用在X-Forwarded-For 标头处减速的 IP 地址而不是原始 IP，则可能会遇到各种问题，如果源自这些字段的数据受到应用程序开发人员的信任并得到处理，则任何源自 IP 地址记录的授权检查都可能被操纵。

  目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://wordpress.org/
1.4.2 高危漏洞实例
2022年10月高危漏洞共769个，其中重要漏洞实例如表6所示。

表6  2022年10月高危漏洞实例

漏洞类型	厂商	CNNVD编号	漏洞实例
SQL注入	Mayuri K.	CNNVD-202210-878	Rockwell Automation Factory Talk VantagePoint SQL注入漏洞（CNNVD-202210-249）
	ResIOT	CNNVD-202210-855
	Rockwell Automation	CNNVD-202210-249
	WordPress基金会	CNNVD-202210-1084
		CNNVD-202210-1108
		CNNVD-202210-1129
		CNNVD-202210-1716
		CNNVD-202210-1717
		CNNVD-202210-1718
		CNNVD-202210-1721
		CNNVD-202210-2477
		CNNVD-202210-2553
	ZKTeco	CNNVD-202210-004
	个人开发者	CNNVD-202210-191
		CNNVD-202210-193
		CNNVD-202210-201
		CNNVD-202210-214
		CNNVD-202210-215
		CNNVD-202210-237
		CNNVD-202210-306
		CNNVD-202210-308
		CNNVD-202210-310
		CNNVD-202210-311
		CNNVD-202210-314
		CNNVD-202210-315
		CNNVD-202210-318
		CNNVD-202210-574
		CNNVD-202210-606
		CNNVD-202210-608
		CNNVD-202210-610
		CNNVD-202210-793
		CNNVD-202210-880
		CNNVD-202210-883
		CNNVD-202210-937
		CNNVD-202210-1007
		CNNVD-202210-1101
		CNNVD-202210-1152
		CNNVD-202210-1324
		CNNVD-202210-2206
		CNNVD-202210-2445
		CNNVD-202210-2451
		CNNVD-202210-2478
		CNNVD-202210-2480
		CNNVD-202210-2481
		CNNVD-202210-2482
		CNNVD-202210-2486
	台达电子	CNNVD-202210-2146
		CNNVD-202210-2160
		CNNVD-202210-2391
代码问题	Adobe	CNNVD-202210-705	GitHub Enterprise Server 代码问题漏洞（CNNVD-202210-1366）
	Adobe	CNNVD-202210-733
	Apache基金会	CNNVD-202210-253
		CNNVD-202210-1707
		CNNVD-202210-1712
		CNNVD-202210-2173
	Bigcommerec	CNNVD-202210-638
	CERT Coordination Center	CNNVD-202210-2172
	Chamilo协会	CNNVD-202210-1145
	Dell	CNNVD-202210-750
	Dell	CNNVD-202210-751
	EVE-NG	CNNVD-202210-1495
	Emlog	CNNVD-202210-1556
	F5	CNNVD-202210-1452
	FasterXML	CNNVD-202210-006
	FasterXML	CNNVD-202210-007
	Github	CNNVD-202210-1366
	ISC	CNNVD-202210-133
	Jenkins	CNNVD-202210-1373
	Jenkins	CNNVD-202210-1387
	Juniper Networks	CNNVD-202210-658
		CNNVD-202210-661
		CNNVD-202210-663
		CNNVD-202210-670
	Linux基金会	CNNVD-202210-1526
	Litespeed Technologie	CNNVD-202210-2406
	Mitel	CNNVD-202210-2111
	OpenSSL团队	CNNVD-202210-400
	Openjs基金会	CNNVD-202210-374
	Panini	CNNVD-202210-348
	SolarWinds	CNNVD-202210-1514
		CNNVD-202210-1519
		CNNVD-202210-1521
	Sony	CNNVD-202210-615
	Veritas	CNNVD-202210-070
	WordPress基金会	CNNVD-202210-097
	WordPress基金会	CNNVD-202210-1714
	个人开发者	CNNVD-202210-309
		CNNVD-202210-313
		CNNVD-202210-316
		CNNVD-202210-353
		CNNVD-202210-571
		CNNVD-202210-575
		CNNVD-202210-625
		CNNVD-202210-849
		CNNVD-202210-851
		CNNVD-202210-886
		CNNVD-202210-889
		CNNVD-202210-1008
		CNNVD-202210-1072
		CNNVD-202210-1155
		CNNVD-202210-1198
		CNNVD-202210-1203
		CNNVD-202210-1486
		CNNVD-202210-1493
		CNNVD-202210-2409
		CNNVD-202210-2410
		CNNVD-202210-2437
		CNNVD-202210-2484
	卓卓网络	CNNVD-202210-055
	卓卓网络	CNNVD-202210-605
	字节跳动	CNNVD-202210-1184
	联发科	CNNVD-202210-011
	联发科	CNNVD-202210-012
授权问题	Boodskap	CNNVD-202210-857	Rockwell Automation FactoryTalk Alarm and Events Server 授权问题漏洞（CNNVD-202210-2369）
	HEIDENHAIN	CNNVD-202210-2121
	Perth	CNNVD-202210-739
	Rockwell Automation	CNNVD-202210-2369
	Siemens	CNNVD-202210-501
	Wire	CNNVD-202210-1185
	个人开发者	CNNVD-202210-1345
	开放原子开源基金会	CNNVD-202210-916
操作系统命令注入	Abode	CNNVD-202210-1501	Fortinet FortiOS 操作系统命令注入漏洞（CNNVD-202210-361）
	Abode	CNNVD-202210-1523
	Dell	CNNVD-202210-529
	FortiTester	CNNVD-202210-1206
	Fortinet	CNNVD-202210-361
	GL.iNet	CNNVD-202210-2386
	Robustel	CNNVD-202210-1027
	Siemens	CNNVD-202210-509
	Webmin	CNNVD-202210-2084
	个人开发者	CNNVD-202210-1147
缓冲区错误	Adobe	CNNVD-202210-677	Linux kernel 缓冲区错误漏洞（CNNVD-202210-845）
CNNVD-202210-679
CNNVD-202210-691
CNNVD-202210-692
CNNVD-202210-1321
Altair	CNNVD-202210-629
Autodesk	CNNVD-202210-064
	CNNVD-202210-067
	CNNVD-202210-069
	CNNVD-202210-073
	CNNVD-202210-074
	CNNVD-202210-075
	CNNVD-202210-086
	CNNVD-202210-322
	CNNVD-202210-323
	CNNVD-202210-325
	CNNVD-202210-326
	CNNVD-202210-939
	CNNVD-202210-940
	CNNVD-202210-941
	CNNVD-202210-942
	CNNVD-202210-943
	CNNVD-202210-948
	CNNVD-202210-1564
	CNNVD-202210-1567
	CNNVD-202210-1568
	CNNVD-202210-1571
	CNNVD-202210-1572
	CNNVD-202210-1573
	CNNVD-202210-1574
	CNNVD-202210-1575
	CNNVD-202210-1576
	CNNVD-202210-1577
	CNNVD-202210-1578
	CNNVD-202210-1580
	CNNVD-202210-1582
	CNNVD-202210-1596
Bentley Systems	CNNVD-202210-781
	CNNVD-202210-782
	CNNVD-202210-783
Dell	CNNVD-202210-753
F5	CNNVD-202210-1409
	CNNVD-202210-1419
	CNNVD-202210-1451
Fortinet	CNNVD-202210-376
FreeRDP团队	CNNVD-202210-766
GPAC	CNNVD-202210-1352
GPAC	CNNVD-202210-1354
Git	CNNVD-202210-1260
Google	CNNVD-202210-010
	CNNVD-202210-015
	CNNVD-202210-022
	CNNVD-202210-041
	CNNVD-202210-043
	CNNVD-202210-045
	CNNVD-202210-101
	CNNVD-202210-106
Horner Automation	CNNVD-202210-119
	CNNVD-202210-120
	CNNVD-202210-121
Juniper Networks	CNNVD-202210-672
Linux基金会	CNNVD-202210-845
	CNNVD-202210-1508
	CNNVD-202210-2151
Nginx	CNNVD-202210-2496
Qualcomm	CNNVD-202210-1339
SAMSUNG	CNNVD-202210-295
SAP	CNNVD-202210-409
	CNNVD-202210-412
	CNNVD-202210-413
	CNNVD-202210-418
	CNNVD-202210-420
	CNNVD-202210-421
	CNNVD-202210-424
	CNNVD-202210-430
	CNNVD-202210-433
	CNNVD-202210-434
	CNNVD-202210-436
	CNNVD-202210-438
	CNNVD-202210-439
	CNNVD-202210-448
	CNNVD-202210-452
	CNNVD-202210-457
	CNNVD-202210-460
	CNNVD-202210-462
	CNNVD-202210-464
	CNNVD-202210-468
	CNNVD-202210-471
	CNNVD-202210-472
	CNNVD-202210-503
	CNNVD-202210-579
	CNNVD-202210-580
	CNNVD-202210-582
	CNNVD-202210-583
	CNNVD-202210-584
	CNNVD-202210-585
	CNNVD-202210-587
	CNNVD-202210-588
	CNNVD-202210-593
Siemens	CNNVD-202210-499
Siemens	CNNVD-202210-516
Softing	CNNVD-202210-1515
Softmotions	CNNVD-202210-1611
Trend Micro	CNNVD-202210-365
个人开发者	CNNVD-202210-077
	CNNVD-202210-078
	CNNVD-202210-087
	CNNVD-202210-1436
	CNNVD-202210-2180
	CNNVD-202210-2184
	CNNVD-202210-2190
	CNNVD-202210-2191
	CNNVD-202210-2358
	CNNVD-202210-2360
华为	CNNVD-202210-147
	CNNVD-202210-149
	CNNVD-202210-172
	CNNVD-202210-176
	CNNVD-202210-179
	CNNVD-202210-181
	CNNVD-202210-184
	CNNVD-202210-185
华硕	CNNVD-202210-245
吉翁电子	CNNVD-202210-186
	CNNVD-202210-188
	CNNVD-202210-190
	CNNVD-202210-194
	CNNVD-202210-195
	CNNVD-202210-197
	CNNVD-202210-199
	CNNVD-202210-205
群晖科技	CNNVD-202210-1470
腾达	CNNVD-202210-723
	CNNVD-202210-725
	CNNVD-202210-727
	CNNVD-202210-1194
	CNNVD-202210-2385
	CNNVD-202210-2387
访问控制错误	InHand Networks	CNNVD-202210-2400	Trend Micro Apex One 访问控制错误漏洞（CNNVD-202210-362）
	Trend Micro	CNNVD-202210-362
	free5GC	CNNVD-202210-1736
	华硕	CNNVD-202210-1342
资源管理错误	ARM	CNNVD-202210-2102	ARM Mali GPU Kernel Driver 资源管理错误漏洞（CNNVD-202210-2102）
	Adobe	CNNVD-202210-680
		CNNVD-202210-686
		CNNVD-202210-687
		CNNVD-202210-688
		CNNVD-202210-689
		CNNVD-202210-690
	Autodesk	CNNVD-202210-320
	Autodesk	CNNVD-202210-946
	Containous	CNNVD-202210-522
	F5	CNNVD-202210-1390
	F5	CNNVD-202210-1453
	GitLab	CNNVD-202210-1121
	GitLab	CNNVD-202210-1585
	Google	CNNVD-202210-013
		CNNVD-202210-024
		CNNVD-202210-026
		CNNVD-202210-047
		CNNVD-202210-107
	Linux基金会	CNNVD-202210-794
		CNNVD-202210-803
		CNNVD-202210-1052
		CNNVD-202210-1106
		CNNVD-202210-1107
		CNNVD-202210-1139
		CNNVD-202210-1140
		CNNVD-202210-1538
		CNNVD-202210-1548
		CNNVD-202210-1549
		CNNVD-202210-1563
	Microsoft	CNNVD-202210-551
	Microsoft	CNNVD-202210-566
	Qualcomm	CNNVD-202210-1337
	SAMSUNG	CNNVD-202210-294
	Siemens	CNNVD-202210-513
	Softing	CNNVD-202210-1512
	Vim	CNNVD-202210-2209
	pyup.io	CNNVD-202210-212
	webpack	CNNVD-202210-558
	个人开发者	CNNVD-202210-864
		CNNVD-202210-1148
		CNNVD-202210-1676
		CNNVD-202210-2188
		CNNVD-202210-2200
输入验证错误	Abode	CNNVD-202210-1485	F5 BIG-IP 输入验证错误漏洞（CNNVD-202210-1393）
	Adobe	CNNVD-202210-732
		CNNVD-202210-1322
		CNNVD-202210-1504
	Altair	CNNVD-202210-607
	Cisco	CNNVD-202210-1457
	Dell	CNNVD-202210-533
		CNNVD-202210-535
		CNNVD-202210-754
		CNNVD-202210-760
		CNNVD-202210-761
		CNNVD-202210-764
	F5	CNNVD-202210-1393
	Google	CNNVD-202210-056
	Google	CNNVD-202210-103
	Juniper Networks	CNNVD-202210-648
		CNNVD-202210-664
		CNNVD-202210-668
		CNNVD-202210-674
		CNNVD-202210-678
	Lanner	CNNVD-202210-1702
	LiteSpeed Technologies	CNNVD-202210-2404
	SAP	CNNVD-202210-415
	Siemens	CNNVD-202210-395
		CNNVD-202210-446
		CNNVD-202210-514
	个人开发者	CNNVD-202210-1680
	华为	CNNVD-202210-146
	联发科	CNNVD-202210-339

1. RockwellAutomation Factory Talk VantagePoint SQL注入漏洞（CNNVD-202210-249）

Rockwell AutomationFactory Talk VantagePoint是美国罗克韦尔（Rockwell Automation）公司的一个高级工业应用生态系统。通过提供开箱即用的支持 Web 的内容浏览和显示创建来实现生产力。

Rockwell AutomationFactory Talk VantagePoint 存在SQL注入漏洞，该漏洞源于未正确验证用户向后端数据库检索信息时输入的SQL语句导致具有基本用户权限的用户可以在服务器上执行远程代码执行。

  目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1137043

2. GitHubEnterprise Server 代码问题漏洞（CNNVD-202210-1366）

GitHub EnterpriseServer是美国Github开源的一个应用软件。提供一个将自己的GitHub实例设置为虚拟设备，从而提供可扩展，易于管理的平台。

GitHub EnterpriseServer 3.6之前版本存在安全漏洞。攻击者利用该漏洞通过服务器端请求伪造（SSRF）获得访问权限，从而能够控制反序列化的数据。

  目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页：
https://docs.github.com/en

3. RockwellAutomation FactoryTalk Alarm and Events Server 授权问题漏洞（CNNVD-202210-2369）

Rockwell AutomationFactoryTalk Alarm and Events Server是美国罗克韦尔（RockwellAutomation）公司的提供了一种连接到 Rockwell 的FactoryTalk 服务的方法，以便从已配置的 A&E 服务器中过滤警报。

Rockwell AutomationFactoryTalk Alarm and Events Server 存在安全漏洞。攻击者利用该漏洞可以访问敏感信息。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://rockwellautomation.custhelp.com/app/answers/answer_view/a_id/1136876

4. FortinetFortiOS 操作系统命令注入漏洞（CNNVD-202210-361）

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。

Fortinet FortiOS存在安全漏洞，该漏洞源于使用的特殊元素的中和不当。攻击者利用该漏洞在链接的FortiSwitch上执行特权命令。以下产品及版本受到影响：FortinetFortiOS 6.0.0版本至6.0.14版本、6.2.0版本至6.2.10版本、6.4.0版本至6.4.8版本、7.0.0版本至7.0.3版本。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.fortiguard.com/psirt/FG-IR-21-242

5. Linuxkernel 缓冲区错误漏洞（CNNVD-202210-845）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。

Linux kernel 5.19.11及之前版本存在安全漏洞，该漏洞源于能够注入WLAN帧的攻击者可以在net/mac80211/scan.c的ieee80211_bss_info_update函数中造成缓冲区溢出。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://git.kernel.org/pub/scm/linux/kernel/git/wireless/wireless.git/commit/?id=aebe9f4639b13a1f4e9a6b42cdd2e38c617b442d

6. TrendMicro Apex One 访问控制错误漏洞（CNNVD-202210-362）

Trend Micro Apex One是美国趋势科技（TrendMicro）公司的一款终端防护软件。

Trend Micro Apex One2019 (on-prem)、SaaS版本存在安全漏洞，该漏洞源于 Apex One 源验证错误，攻击者利用该漏洞可以提升权限。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
   https://success.trendmicro.com/solution/000291645

7. ARM MaliGPU Kernel Driver 资源管理错误漏洞（CNNVD-202210-2102）

ARM Mali GPU KernelDriver是英国ARM公司的一个图形处理器单元的驱动程序。

ARM Mali GPU KernelDriver 存在资源管理错误漏洞，该漏洞源于允许非特权用户进行不当的GPU处理操作，以获得对已释放内存的访问。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

8. F5 BIG-IP 输入验证错误漏洞（CNNVD-202210-1393）

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。

F5 BIG-IP 存在输入验证错误漏洞，该漏洞源于当在虚拟服务器上配置了启用“AttackSignature False Positive Mode”的安全策略时，未披露的请求可能导致bd进程终止。

  目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
   https://support.f5.com/csp/article/K47204506
二、漏洞平台推送情况
2022年10月漏洞平台推送漏洞48742个。

表7 2022年10月漏洞平台推送情况表

序号	漏洞平台	漏洞总量
1	漏洞盒子	4373
2	补天平台	40661
3	360漏洞云	3708
推送总计		48742

三、接报漏洞情况
2022年10月接报漏洞2544个，其中信息技术产品漏洞（通用型漏洞）705个，网络信息系统漏洞（事件型漏洞）1839个。

表8 2022年10月接报漏洞情况表

序号	报送单位	漏洞数量
1	内蒙古奥创科技有限公司	638
2	北京山石网科信息技术有限公司	325
3	西安四叶草信息技术有限公司	316
4	远江盛邦(北京)网络安全科技股份有限公司	132
5	北京启明星辰信息安全技术有限公司	131
6	内蒙古中叶信息技术有限责任公司	116
7	杭州安恒信息技术股份有限公司	97
8	北京华云安信息技术有限公司	84
9	杭州海康威视数字技术股份有限公司	63
10	深圳开源互联网安全技术有限公司	47
11	山东新潮信息技术有限公司	43
12	北京国舜科技股份有限公司	34
13	河南听潮盛世信息技术有限公司	30
14	中国电信股份有限公司网络安全产品运营中心	27
15	中电信数智科技有限公司	26
16	个人	23
17	杭州迪普科技股份有限公司	22
18	山东泽鹿安全技术有限公司	21
19	上海上讯信息技术股份有限公司	20
20	北京安天网络安全技术有限公司	20
21	广州锦行网络科技有限公司	20
22	星云博创科技有限公司	20
23	北京长亭科技有限公司	18
24	中兴通讯股份有限公司	18
25	长扬科技（北京）股份有限公司	17
26	苏州棱镜七彩信息科技有限公司	15
27	天津市兴先道科技有限公司	12
28	北京安帝科技有限公司	12
29	山东华软金盾软件股份有限公司	11
30	北京墨云科技有限公司	10
31	浪潮电子信息产业股份有限公司	10
32	北京华顺信安信息技术有限公司	10
33	北京智游网安科技有限公司	10
34	深信服科技股份有限公司	8
35	北京微步在线科技有限公司	7
36	西安交大捷普网络科技有限公司	6
37	北京数字观星科技有限公司	6
38	奇安信网神信息技术（北京）股份有限公司	6
39	上海斗象信息科技有限公司	6
40	北京雪诺科技有限公司	6
41	北京优炫软件股份有限公司	6
42	上海安识网络科技有限公司	6
43	上海银基信息安全技术股份有限公司	5
44	北京六方云信息技术有限公司	5
45	北京安普诺信息技术有限公司	5
46	内蒙古信元网络安全技术股份有限公司	5
47	博智安全科技股份有限公司	5
48	南京禾盾信息科技有限公司	4
49	广州竞远安全技术股份有限公司	4
50	北京天融信网络安全技术有限公司	4
51	南京众智维信息科技有限公司	4
52	北京江南天安科技有限公司	4
53	北京时代新威信息技术有限公司	3
54	北方实验室（沈阳）股份有限公司	3
55	新华三技术有限公司	3
56	长春嘉诚信息技术股份有限公司	3
57	深圳融安网络科技有限公司	2
58	北京安盟信息技术股份有限公司	2
59	杭州默安科技有限公司	2
60	北京京东尚科信息技术有限公司	2
61	武汉明嘉信技术有限公司	2
62	贵州泰若数字科技有限公司	2
63	北京永信至诚科技股份有限公司	2
64	北京奇虎科技有限公司	2
65	中资网络信息安全科技有限公司	2
66	天翼数智科技（北京）有限公司	1
67	连连数字科技股份有限公司	1
68	思而听（山东）网络科技有限公司	1
69	杭州美创科技有限公司	1
70	成方金融科技有限公司上海分公司	1
71	国网湖南省电力有限公司湘西供电分公司、国网新疆电力有限公司	1
72	华为技术有限公司	1
73	三六零数字安全科技集团有限公司	1
74	江苏派恩杰网络安全有限责任公司	1
75	浙江大华技术股份有限公司	1
76	中孚安全技术有限公司	1
77	杭州美创科技	1
78	墨菲未来科技(北京)有限公司	1
79	北京机沃科技有限公司	1
报送合计		2544

四、重大漏洞通报4.1Fortinet FortiOS安全漏洞的通报
  近日，国家信息安全漏洞库（CNNVD）收到关于FortinetFortiOS 安全漏洞（CNNVD-202210-347、CVE-2022-40684）情况的报送。成功利用漏洞的攻击者，可在未经身份验证的情况下获得对管理界面的访问权限，从而最终控制目标系统。FortinetFortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。

. 漏洞介绍

Fortinet FortiOS是美国飞塔（Fortinet）公司的一套专用于FortiGate网络安全平台上的安全操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS存在安全漏洞，该漏洞允许未经身份验证的攻击者获得对管理界面的访问权限，并通过特制的HTTP或HTTPS请求执行任意操作，从而最终控制目标系统。

. 危害影响

  成功利用漏洞的攻击者，可在未经身份验证的情况下获得对管理界面的访问权限，从而最终控制目标系统。FortinetFortiOS 7.0.0版至7.0.6版、7.2.0版至7.2.1版、FortiProxy7.0.0版至7.0.6版、7.2.0版本等多个版本均受此漏洞影响。

. 修复建议

  目前，Fortinet官方已发布升级补丁修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方补丁链接如下：

https://docs.fortinet.com/product/fortigate/7.2
4.2 微软多个安全漏洞的通报
  近日，微软官方发布了多个安全漏洞的公告，其中微软产品本身漏洞89个。包括Microsoft Azure Kubernetes 安全漏洞（CNNVD-202210-553、CVE-2022-37968）、Microsoft Exchange Server 安全漏洞（CNNVD-202208-2493、CVE-2022-21980）等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据，提升权限等。微软多个产品和系统受漏洞影响。目前，微软官方已经发布了漏洞修复补丁，建议用户及时确认是否受到漏洞影响，尽快采取修补措施。

. 漏洞介绍

2022年10月11日，微软发布了2022年10月份安全更新，共89个漏洞的补丁程序，CNNVD对这些漏洞进行了收录。本次更新主要涵盖了MicrosoftWindows 和 Windows 组件、MicrosoftWindows DHCP Client、Microsoft Windows Kernel、MicrosoftWindows Print Spooler Components、Microsoft Word、MicrosoftWindows Perception Simulation Service等。CNNVD对其危害等级进行了评价，其中超危漏洞1个，高危漏洞66个，中危漏洞20个，低危漏洞2个。微软多个产品和系统版本受漏洞影响，具体影响范围可访问
https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

. 漏洞详情

  此次更新共包括84个新增漏洞的补丁程序，其中超危漏洞1个，高危漏洞63个，中危漏洞18个，低危漏洞2个。

序号	漏洞名称	CNNVD编号	CVE 编号	危害等级	官方链接
1	Microsoft Azure Kubernetes安全漏洞	CNNVD-202210-553	CVE-2022-37968	超危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37968
2	Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞	CNNVD-202210-567	CVE-2022-22035	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-22035
3	Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞	CNNVD-202210-564	CVE-2022-24504	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24504
4	Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞	CNNVD-202210-563	CVE-2022-30198	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30198
5	Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞	CNNVD-202210-562	CVE-2022-33634	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33634
6	Microsoft Graphics Component 安全漏洞	CNNVD-202210-561	CVE-2022-33635	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33635
7	Microsoft Windows TCP/IP component 安全漏洞	CNNVD-202210-566	CVE-2022-33645	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-33645
8	Microsoft Windows CryptoAPI 安全漏洞	CNNVD-202210-565	CVE-2022-34689	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34689
9	Microsoft Windows DWM Core Library 安全漏洞	CNNVD-202210-556	CVE-2022-37970	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37970
10	Microsoft Windows Defender 安全漏洞	CNNVD-202210-552	CVE-2022-37971	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37971
11	Microsoft Windows Local Session Manager (LSM) 安全漏洞	CNNVD-202210-551	CVE-2022-37973	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37973
12	Microsoft Windows 安全漏洞	CNNVD-202210-550	CVE-2022-37975	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37975
13	Microsoft Windows Active Directory Certificate Services 安全漏洞	CNNVD-202210-549	CVE-2022-37976	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37976
14	Microsoft Windows Active Directory Certificate Services 安全漏洞	CNNVD-202210-546	CVE-2022-37978	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37978
15	Microsoft Windows Hyper-V 安全漏洞	CNNVD-202210-544	CVE-2022-37979	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37979
16	Microsoft Windows DHCP Client 安全漏洞	CNNVD-202210-543	CVE-2022-37980	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37980
17	Microsoft DWM Core Library 安全漏洞	CNNVD-202210-530	CVE-2022-37983	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37983
18	Microsoft Windows WLAN Service 安全漏洞	CNNVD-202210-520	CVE-2022-37984	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37984
19	Microsoft Graphics Component 安全漏洞	CNNVD-202210-508	CVE-2022-37986	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37986
20	Microsoft Client Server Run-time Subsystem (CSRSS) 安全漏洞	CNNVD-202210-496	CVE-2022-37987	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37987
21	Microsoft Windows Kernel 安全漏洞	CNNVD-202210-493	CVE-2022-37988	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37988
22	Microsoft Client Server Run-time Subsystem (CSRSS) 安全漏洞	CNNVD-202210-492	CVE-2022-37989	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37989
23	Microsoft Windows Kernel 安全漏洞	CNNVD-202210-491	CVE-2022-37990	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37990
24	Microsoft Windows Kernel 安全漏洞	CNNVD-202210-490	CVE-2022-37991	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37991
25	Microsoft Windows Group Policy Preference Client 安全漏洞	CNNVD-202210-489	CVE-2022-37993	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37993
26	Microsoft Windows Group Policy Preference Client 安全漏洞	CNNVD-202210-486	CVE-2022-37994	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37994
27	Microsoft Windows Kernel 安全漏洞	CNNVD-202210-487	CVE-2022-37995	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37995
28	Microsoft Graphics Component 安全漏洞	CNNVD-202210-482	CVE-2022-37997	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37997
29	Microsoft Windows Local Session Manager (LSM) 安全漏洞	CNNVD-202210-481	CVE-2022-37998	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37998
30	Microsoft Windows Group Policy Preference Client 安全漏洞	CNNVD-202210-478	CVE-2022-37999	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37999
31	Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞	CNNVD-202210-477	CVE-2022-38000	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38000
32	Microsoft Windows Resilient File System (ReFS) 安全漏洞	CNNVD-202210-475	CVE-2022-38003	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38003
33	Microsoft Windows Local Security Authority (LSA) 安全漏洞	CNNVD-202210-476	CVE-2022-38016	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38016
34	Microsoft Windows Connected User Experiences and Telemetry 安全漏洞	CNNVD-202210-470	CVE-2022-38021	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38021
35	Microsoft Windows Storage 安全漏洞	CNNVD-202210-463	CVE-2022-38027	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38027
36	Microsoft Windows Print Spooler Components 安全漏洞	CNNVD-202210-456	CVE-2022-38028	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38028
37	Microsoft Windows ALPC 安全漏洞	CNNVD-202210-453	CVE-2022-38029	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38029
38	Microsoft OLE DB Provider for SQL Server 安全漏洞	CNNVD-202210-455	CVE-2022-38031	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38031
39	Microsoft Windows Internet Key Exchange (IKE) Protocol 安全漏洞	CNNVD-202210-443	CVE-2022-38036	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38036
40	Microsoft Windows Kernel 安全漏洞	CNNVD-202210-442	CVE-2022-38037	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38037
41	Microsoft Windows Kernel 安全漏洞	CNNVD-202210-445	CVE-2022-38038	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38038
42	Microsoft Windows Kernel 安全漏洞	CNNVD-202210-435	CVE-2022-38039	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38039
43	Microsoft ODBC Driver 安全漏洞	CNNVD-202210-600	CVE-2022-38040	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38040
44	Microsoft Windows Secure Channel 安全漏洞	CNNVD-202210-599	CVE-2022-38041	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38041
45	Microsoft Windows Active Directory 安全漏洞	CNNVD-202210-594	CVE-2022-38042	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38042
46	Microsoft Windows CD-ROM Driver 安全漏洞	CNNVD-202210-432	CVE-2022-38044	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38044
47	Microsoft Windows 安全漏洞	CNNVD-202210-426	CVE-2022-38045	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38045
48	Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞	CNNVD-202210-428	CVE-2022-38047	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38047
49	Microsoft Office 安全漏洞	CNNVD-202210-406	CVE-2022-38048	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38048
50	Microsoft Office 安全漏洞	CNNVD-202210-405	CVE-2022-38049	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38049
51	Microsoft Windows Win32K 安全漏洞	CNNVD-202210-423	CVE-2022-38050	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38050
52	Microsoft Graphics Component 安全漏洞	CNNVD-202210-429	CVE-2022-38051	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38051
53	Microsoft SharePoint 安全漏洞	CNNVD-202210-417	CVE-2022-38053	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38053
54	Microsoft Word 安全漏洞	CNNVD-202210-404	CVE-2022-41031	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41031
55	Microsoft Visual Studio 安全漏洞	CNNVD-202210-541	CVE-2022-41032	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41032
56	Microsoft Windows 安全漏洞	CNNVD-202210-419	CVE-2022-41033	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41033
57	Microsoft Visual Studio Code 安全漏洞	CNNVD-202210-538	CVE-2022-41034	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41034
58	Microsoft SharePoint 安全漏洞	CNNVD-202210-431	CVE-2022-41036	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41036
59	Microsoft SharePoint 安全漏洞	CNNVD-202210-416	CVE-2022-41037	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41037
60	Microsoft SharePoint 安全漏洞	CNNVD-202210-411	CVE-2022-41038	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41038
61	Microsoft Visual Studio Code 安全漏洞	CNNVD-202210-540	CVE-2022-41042	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41042
62	Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞	CNNVD-202210-410	CVE-2022-41081	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41081
63	Microsoft Visual Studio Code 安全漏洞	CNNVD-202210-539	CVE-2022-41083	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41083
64	Microsoft Windows NTLM 安全漏洞	CNNVD-202210-560	CVE-2022-35770	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35770
65	Microsoft Service Fabric 安全漏洞	CNNVD-202210-557	CVE-2022-35829	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-35829
66	Microsoft Windows Point-to-Point Tunneling Protocol 安全漏洞	CNNVD-202210-554	CVE-2022-37965	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37965
67	Microsoft Windows Perception Simulation Service 安全漏洞	CNNVD-202210-555	CVE-2022-37974	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37974
68	Microsoft Windows Local Security Authority Subsystem Service (LSASS) 安全漏洞	CNNVD-202210-547	CVE-2022-37977	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37977
69	Microsoft Windows Event Logging Service 安全漏洞	CNNVD-202210-542	CVE-2022-37981	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37981
70	Microsoft Graphics Component 安全漏洞	CNNVD-202210-521	CVE-2022-37985	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37985
71	Microsoft Windows NTFS 安全漏洞	CNNVD-202210-488	CVE-2022-37996	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37996
72	Microsoft Office 安全漏洞	CNNVD-202210-408	CVE-2022-38001	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38001
73	Microsoft Azure 安全漏洞	CNNVD-202210-548	CVE-2022-38017	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38017
74	Microsoft Windows Distributed File System (DFS) 安全漏洞	CNNVD-202210-466	CVE-2022-38025	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38025
75	Microsoft Windows DHCP Client 安全漏洞	CNNVD-202210-465	CVE-2022-38026	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38026
76	Microsoft Windows USB Serial Driver 安全漏洞	CNNVD-202210-454	CVE-2022-38030	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38030
77	Microsoft Windows Portable Device Enumerator Service 安全漏洞	CNNVD-202210-458	CVE-2022-38032	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38032
78	Microsoft Windows Server Remotely Accessible Registry Keys 安全漏洞	CNNVD-202210-444	CVE-2022-38033	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38033
79	Microsoft Windows Workstation Service 安全漏洞	CNNVD-202210-447	CVE-2022-38034	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38034
80	Microsoft Windows Security Support Provider Interface 安全漏洞	CNNVD-202210-595	CVE-2022-38043	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38043
81	Microsoft Windows 安全漏洞	CNNVD-202210-427	CVE-2022-38046	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38046
82	Microsoft Windows Kernel 安全漏洞	CNNVD-202210-469	CVE-2022-38022	低危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38022
83	Microsoft Office 安全漏洞	CNNVD-202210-403	CVE-2022-41043	低危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41043
84	Microsoft OLE DB Provider for SQL Server 安全漏洞	CNNVD-202210-537	CVE-2022-37982	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37982

此次更新共包括5个更新漏洞的补丁程序，其中高危漏洞3个，中危漏洞2个。

序号	漏洞名称	CNNVD 编号	CVE 编号	危害等级	官方链接
1	Microsoft Exchange Server 安全漏洞	CNNVD-202208-2489	CVE-2022-30134	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-30134
2	Microsoft Exchange Server 安全漏洞	CNNVD-202208-2490	CVE-2022-24477	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24477
3	Microsoft Exchange Server 安全漏洞	CNNVD-202208-2491	CVE-2022-24516	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24516
4	Microsoft Exchange Server 安全漏洞	CNNVD-202208-2493	CVE-2022-21980	高危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-21980
5	Microsoft Exchange Server 安全漏洞	CNNVD-202208-2494	CVE-2022-21979	中危	https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-21979

. 修复建议

目前，微软官方已经发布补丁修复了上述漏洞，建议用户及时确认漏洞影响，尽快采取修补措施。微软官方补丁下载地址：

https://msrc.microsoft.com/update-guide/en-us

信息安全漏洞月报（2022年10月）

指导单位

旗下站点

联系我们