请选择 进入手机版 | 继续访问电脑版
查看: 1715|回复: 0

信息安全漏洞月报2022年12月

[复制链接]
匿名
匿名  发表于 2023-1-6 10:23:27 |阅读模式
漏洞态势

  根据国家信息安全漏洞库(CNNVD)统计,2022年12月份采集安全漏洞共2173个。

  本月接报漏洞78539个,其中信息技术产品漏洞(通用型漏洞)619个,网络信息系统漏洞(事件型漏洞)77920个,其中漏洞平台推送漏洞74171个。

重大漏洞通报

  Fortinet FortiOS 安全漏洞(CNNVD-202212-2946/CVE-2022-42475):成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS 7.2.0等多个版本均受此漏洞影响。目前,Fortinet官方已经发布了修复漏洞的升级版本,建议用户及时确认产品版本,尽快采取修补措施。

    微软官方发布公告更新了Microsoft Graphics Component安全漏洞(CNNVD-202212-3145/CVE-2022-26804)、Microsoft Graphics Component安全漏洞(CNNVD-202212-3123/CVE-2022-26805)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

漏洞态势
一、公开漏洞情况
  根据国家信息安全漏洞库(CNNVD)统计,2022年12月份新增安全漏洞共2173个,从厂商分布来看,Google公司产品的漏洞数量最多,共发布220个;从漏洞类型来看,跨站脚本类的漏洞占比最大,达到16.11%。本月新增漏洞中,超危漏洞256个、高危漏洞762个、中危漏洞1101个、低危漏洞54个,相应修复率分别为69.92%、74.28%、84.29%以及96.30%。合计1725个漏洞已有修复补丁发布,本月整体修复率79.38%。

  截至2022年12月31日,CNNVD采集漏洞总量已达199523个。
1.1 漏洞增长概况
     2022年12月新增安全漏洞2173个,与上月(1922个)相比增加了13.06%。根据近6个月来漏洞新增数量统计图,平均每月漏洞数量达到2066个。

qw1.jpg

图1 2022年7月至2022年12月漏洞新增数量统计图
1.2 漏洞分布情况1.2.1 漏洞厂商分布
    2022年12月厂商漏洞数量分布情况如表1所示,Google公司漏洞达到220个,占本月漏洞总量的10.12%。

表1  2022年12月排名前十厂商新增安全漏洞统计表

序号

厂商名称

漏洞数量(个)

所占比例

1

Google

220

10.12%

2

WordPress基金会

148

6.81%

3

Microsoft

52

2.39%

4

Apple

49

2.25%

5

IBM

44

2.02%

6

Siemens

41

1.89%

7

Adobe

40

1.84%

8

NVIDIA

32

1.47%

9

Linux基金会

31

1.43%

10

Samsung

23

1.06%
1.2.2 漏洞产品分布
    2022年12月主流操作系统的漏洞统计情况如表2所示。本月Windows系列操作系统漏洞数量共30个,Apple iOS漏洞数量最多,共45个,占主流操作系统漏洞总量的13.47%,排名第一。

表2  2022年12月主流操作系统漏洞数量统计

序号

操作系统名称

漏洞数量

1

Apple iOS

45

2

Linux Kernel

30

3

Windows 11

29

4

Windows 10

29

5

Windows Server 2022

26

6

Windows Server 2019

26

7

Windows Server 2016

21

8

Windows 8.1

21

9

Windows Server 2012

20

10

Windows Server 2012 R2

20

11

Windows Rt 8.1

18

12

Windows Server 2008

16

13

Windows 7

16

14

Windows Server 2008 R2

15

15

Android

2
1.2.3 漏洞类型分布
    2022年12月份发布的漏洞类型分布如表3所示,其中跨站脚本类漏洞所占比例最大,约为16.11%。

表3  2022年12月漏洞类型统计表

序号

漏洞类型

漏洞数量(个)

所占比例

1

跨站脚本

350

16.11%

2

缓冲区错误

248

11.41%

3

SQL注入

104

4.79%

4

代码问题

98

4.51%

5

输入验证错误

73

3.36%

6

路径遍历

58

2.67%

7

资源管理错误

58

2.67%

8

跨站请求伪造

46

2.12%

9

授权问题

43

1.98%

10

命令注入

31

1.43%

11

操作系统命令注入

24

1.10%

12

访问控制错误

20

0.92%

13

代码注入

16

0.74%

14

加密问题

16

0.74%

15

信息泄露

11

0.51%

16

竞争条件问题

11

0.51%

17

信任管理问题

10

0.46%

18

注入

10

0.46%

19

数据伪造问题

8

0.37%

20

日志信息泄露

6

0.28%

21

安全特征问题

3

0.14%

22

参数注入

3

0.14%

23

格式化字符串错误

2

0.09%

24

数字错误

1

0.05%

25

环境问题

1

0.05%

26

其他

922

42.43%
1.2.4 漏洞危害等级分布
  根据漏洞的影响范围、利用方式、攻击后果等情况,从高到低可将其分为四个危害等级,即超危、高危、中危和低危级别。2022年12月漏洞危害等级分布如图2所示,其中超危漏洞256条,占本月漏洞总数的11.78%。

qw2.jpg

图2  2022年12月漏洞危害等级分布
1.3漏洞修复情1.3.1 整体修复情况
    2022年12月漏洞修复情况按危害等级进行统计见图3。其中低危漏洞修复率最高,达到96.30%,超危漏洞修复率最低,比例为69.92%。

  总体来看,本月整体修复率由上月的75.29%上升至本月的79.38%。

qw3.jpg

图3  2022年12月漏洞修复数量统计
1.3.2 厂商修复情况
    2022年12月漏洞修复情况按漏洞数量前十厂商进行统计,其中Google、WordPress基金会、Microsoft等十个厂商共680条漏洞,占本月漏洞总数的31.29%,漏洞修复率为90.29%,详细情况见表4。多数知名厂商对产品安全高度重视,产品漏洞修复比较及时,其中Microsoft、Siemens、Adobe、NVIDIA、Samsung等公司本月漏洞修复率均为100%,共614条漏洞已全部修复。

表4 2022年12月厂商修复情况统计表

序号

厂商名称

漏洞数量(个)

修复数量

修复率

1

Google

220

218

99.09%

2

WordPress基金会

148

136

91.89%

3

Microsoft

52

52

100.00%

4

Apple

49

7

14.29%

5

IBM

44

39

88.64%

6

Siemens

41

41

100.00%

7

Adobe

40

40

100.00%

8

NVIDIA

32

32

100.00%

9

Linux基金会

31

26

83.87%

10

Samsung

23

23

100.00%
1.4 重要漏洞实例1.4.1 超危漏洞实例
    2022年12月超危漏洞共256个,其中重要漏洞实例如表5所示。

表5  2022年12月超危漏洞实例

漏洞类型

厂商

CNNVD编号

漏洞实例

SQL注入

Laravel

CNNVD-202212-3547

WordPress  plugin Dokan
  SQL注入漏洞
  (CNNVD-202212-2927)

Planet  Enterprises

CNNVD-202212-2795

Rukovoditel

CNNVD-202212-1937

WordPress基金会

CNNVD-202212-2432

CNNVD-202212-2927

CNNVD-202212-3347

CNNVD-202212-3535

个人开发者

CNNVD-202212-1812

CNNVD-202212-1866

CNNVD-202212-1933

CNNVD-202212-1934

CNNVD-202212-2186

CNNVD-202212-2187

CNNVD-202212-2628

CNNVD-202212-2817

CNNVD-202212-3140

CNNVD-202212-3278

CNNVD-202212-3279

CNNVD-202212-3284

CNNVD-202212-3438

CNNVD-202212-3447

CNNVD-202212-3470

CNNVD-202212-3477

CNNVD-202212-3548

CNNVD-202212-3879

标点信息科技

CNNVD-202212-2192

铭飞

CNNVD-202212-2766

代码问题

3D  City Database

CNNVD-202212-3496

Apache  Tapestry
  代码问题漏洞
  (CNNVD-202212-1863)

Apache基金会

CNNVD-202212-1863

CNNVD-202212-3143

IBM

CNNVD-202212-3585

Jenkins

CNNVD-202212-2625

Proxmox

CNNVD-202212-2202

Rocket  Software

CNNVD-202212-1851

TYPO3

CNNVD-202212-3296

WordPress基金会

CNNVD-202212-2614

CNNVD-202212-2917

CNNVD-202212-2925

CNNVD-202212-2931

个人开发者

CNNVD-202212-1820

CNNVD-202212-2182

CNNVD-202212-2185

CNNVD-202212-2645

CNNVD-202212-3320

CNNVD-202212-3445

CNNVD-202212-3605

CNNVD-202212-3787

前端矿工

CNNVD-202212-2183

南昌卓蓝科技有限公司

CNNVD-202212-2656

授权问题

Hewlett  Packard Enterprise

CNNVD-202212-2870

Hewlett  Packard Enterprise OfficeConnect
  授权问题漏洞
  (CNNVD-202212-2870)

Veeam

CNNVD-202212-2480

authentik

CNNVD-202212-1877

个人开发者

CNNVD-202212-3750

CNNVD-202212-3810

华为

CNNVD-202212-2493

操作系统命令注入

Brave

CNNVD-202212-3931

Seagate  Central NAS
  操作系统命令注入漏洞
  (CNNVD-202212-2581)

Contec

CNNVD-202212-3393

Seagate

CNNVD-202212-2581

Telos  Alliance

CNNVD-202212-1861

netgate

CNNVD-202212-3648

个人开发者

CNNVD-202212-2424

CNNVD-202212-2428

CNNVD-202212-2627

CNNVD-202212-2818

CNNVD-202212-3591

CNNVD-202212-3711

CNNVD-202212-3805

华硕

CNNVD-202212-1805

缓冲区错误

Avast

CNNVD-202212-2662

Avast  Antivirus
  缓冲区错误漏洞
  (CNNVD-202212-2662)

Google

CNNVD-202212-2402

CNNVD-202212-2404

CNNVD-202212-2610

CNNVD-202212-2611

MikroTik

CNNVD-202212-2438

CNNVD-202212-2439

Neutrinolabs

CNNVD-202212-2774

CNNVD-202212-2776

CNNVD-202212-2777

CNNVD-202212-2778

CNNVD-202212-2781

OpenImageIO

CNNVD-202212-3767

CNNVD-202212-3774

Vim

CNNVD-202212-1929

CNNVD-202212-2184

个人开发者

CNNVD-202212-3396

CNNVD-202212-3573

CNNVD-202212-3574

CNNVD-202212-3589

CNNVD-202212-3639

乐为创新科技

CNNVD-202212-2529

华为

CNNVD-202212-2497

CNNVD-202212-2506

CNNVD-202212-2513

CNNVD-202212-2514

CNNVD-202212-2520

CNNVD-202212-2524

腾达

CNNVD-202212-1900

CNNVD-202212-1901

CNNVD-202212-1903

CNNVD-202212-1999

CNNVD-202212-2065

飞桨

CNNVD-202212-2641

访问控制错误

BEApps

CNNVD-202212-2508

SICK  SIM2000ST
  访问控制错误漏洞
  (CNNVD-202212-3421)

SICK

CNNVD-202212-3421

Telepad

CNNVD-202212-2436

thisAAY

CNNVD-202212-2509

资源管理错误

Linux基金会

CNNVD-202212-3802

Linux  kernel
  资源管理错误漏洞
  (CNNVD-202212-3802)

开放原子开源基金会

CNNVD-202212-3560

输入验证错误

Neutrinolabs

CNNVD-202212-2775

TIBCO  Software Nimbus
  输入验证错误漏洞
  (CNNVD-202212-2605)

OTRS

CNNVD-202212-3515

TIBCO  Software

CNNVD-202212-2605

个人开发者

CNNVD-202212-2534

CNNVD-202212-3712

1、WordPress plugin Dokan SQL注入漏洞(CNNVD-202212-2927)

    WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。

    WordPressplugin Dokan 3.7.6之前版本存在SQL注入漏洞,该漏洞源于在SQL语句使用参数之前没有正确地对其进行清理和转义。攻击者利用该漏洞执行SQL注入攻击。

    目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://wpscan.com/vulnerability/fd416d99-1970-418f-81f5-8438490d4479

2、Apache Tapestry 代码问题漏洞(CNNVD-202212-1863)

    ApacheTapestry是美国阿帕奇(Apache)基金会的一款使用Java语言编写的Web应用程序框架。

    ApacheTapestry 3.x版本存在代码问题漏洞,该漏洞源于其允许对不受信任的数据进行反序列化导致攻击者可以实现远程代码执行。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://lists.apache.org/thread/bwn1vjrvz1hq0wbdzj23wz322244swhj

3、Hewlett Packard Enterprise OfficeConnect 授权问题漏洞(CNNVD-202212-2870)

    HewlettPackard Enterprise OfficeConnect是美国慧与(Hewlett Packard Enterprise)公司的一系列交换机。

    HewlettPackard Enterprise OfficeConnect 1820、1850 和1920S Network switches存在安全漏洞,该漏洞源于发现了一个潜在的安全漏洞,该漏洞可被远程利用以绕过身份验证,以下产品和版本受到影响:PT.02.14 之前版本、 在 PC.01.22 之前版本;、在PO.01.21 之前版本、 在 PD.02.22 之前版本。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-hpesbnw04383en_us

4、Seagate Central NAS 操作系统命令注入漏洞(CNNVD-202212-2581)

    SeagateCentral NAS是美国希捷(Seagate)公司的一系列网络存储设备。

  SeagateCentral NAS STCG2000300、STCG3000300和 STCG4000300 存在安全漏洞,该漏洞源于Web管理应用程序允许通过利用“开始”状态并发送 check_device_name 请求,攻击者利用该漏洞可以通过 cirrus/application/helpers/mv_backend_helper.php 中的 mv_backend_launch 注入操作系统命令。

  目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.seagate.com/

5、Avast Antivirus 缓冲区错误漏洞(CNNVD-202212-2662)

    AvastAntivirus是捷克Avast公司的一套杀毒软件。

    AvastAntivirus Script Shield 组件版本18.0.1473.0 及之前版本存在缓冲区错误漏洞,该漏洞源于加载Avast DLL 库时发生堆损坏而导致 MozillaFirefox 浏览器崩溃。

  目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

    https://www.avast.com/

6、SICK SIM2000ST 访问控制错误漏洞(CNNVD-202212-3421)

    SICKSIM2000ST是德国西克(SICK)公司的一款传感器集成机。

SICKSIM2000ST Partnumber 2086502 固件版本1.13.4之前版本存在安全漏洞,该漏洞源于允许无特权的远程攻击者通过调用密码恢复机制方法来访问定义为 RecoverableUserLevel 的用户级别,这导致他们在系统上的特权增加,从而影响系统的机密性完整性和可用性。

  目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

    https://sick.com/psirt

7、Linux kernel 资源管理错误漏洞(CNNVD-202212-3802)

    Linuxkernel是美国Linux基金会的开源操作系统Linux所使用的内核。

    Linuxkernel存在安全漏洞,该漏洞源于ksmbd 中发现了一个问题,fs/ksmbd/smb2pdu.c 有一个释放后重用和 SMB2_TREE_DISCONNECT 的 OOPS。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=cf6531d98190fa2cf92a6d8bbc8af0a4740a223c

8、TIBCO Software Nimbus 输入验证错误漏洞(CNNVD-202212-2605)

    TIBCOSoftware Nimbus是美国TIBCO Software公司的用于流程文档的业务应用程序。

    TIBCOSoftware Nimbus 10.5.0版本存在安全漏洞,该漏洞源于WebClient组件存在问题,允许具有网络访问权限的未经身份验证的攻击者利用受影响系统上的开放重定向。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.tibco.com/support/advisories/2022/12/tibco-security-advisory-december-6-2022-tibco-nimbus-cve-2022-41559
1.4.2 高危漏洞实例
2022年12月高危漏洞共762个,其中重要漏洞实例如表6所示。

表6  2022年12月高危漏洞实例

漏洞类型

厂商

CNNVD编号

漏洞实例

SQL注入

AeroCMS

CNNVD-202212-3092

Fortinet  FortiADC
  SQL注入漏洞
  (CNNVD-202212-2593)

BigCommerec

CNNVD-202212-2810

Cube.js

CNNVD-202212-2801

Fortinet

CNNVD-202212-2593

MAKU

CNNVD-202212-2642

Planet  Enterprises

CNNVD-202212-2794

CNNVD-202212-2796

CNNVD-202212-2797

CNNVD-202212-2800

Rainy

CNNVD-202212-2842

WordPress基金会

CNNVD-202212-2457

CNNVD-202212-2460

CNNVD-202212-2467

CNNVD-202212-2918

CNNVD-202212-2924

CNNVD-202212-3923

个人开发者

CNNVD-202212-1904

CNNVD-202212-1905

CNNVD-202212-1906

CNNVD-202212-1908

CNNVD-202212-2191

CNNVD-202212-2517

CNNVD-202212-2643

CNNVD-202212-2785

CNNVD-202212-2826

CNNVD-202212-3252

CNNVD-202212-3255

CNNVD-202212-3256

CNNVD-202212-3257

CNNVD-202212-3258

CNNVD-202212-3259

CNNVD-202212-3260

CNNVD-202212-3261

CNNVD-202212-3262

CNNVD-202212-3276

CNNVD-202212-3290

CNNVD-202212-3291

CNNVD-202212-3517

CNNVD-202212-3582

CNNVD-202212-3877

CNNVD-202212-3886

代码问题

AeroCMS

CNNVD-202212-3407

Symantec  Identity Manager
  代码问题漏洞
  (CNNVD-202212-3417)

Apache基金会

CNNVD-202212-3564

Autodesk

CNNVD-202212-3557

Esri

CNNVD-202212-4112

Exact

CNNVD-202212-3395

FFmpeg

CNNVD-202212-3422

Google

CNNVD-202212-3135

HP

CNNVD-202212-2869

JetBrains

CNNVD-202212-2740

OpenEMR

CNNVD-202212-3357

OpenImageIO

CNNVD-202212-3770

SAP

CNNVD-202212-2963

Siemens

CNNVD-202212-3100

Symantec

CNNVD-202212-3417

Synacor

CNNVD-202212-2476

WordPress基金会

CNNVD-202212-2468

CNNVD-202212-2915

CNNVD-202212-2916

CNNVD-202212-2928

CNNVD-202212-2938

CNNVD-202212-3534

CNNVD-202212-3921

个人开发者

CNNVD-202212-2600

CNNVD-202212-2629

CNNVD-202212-2832

CNNVD-202212-2848

CNNVD-202212-2948

CNNVD-202212-3325

CNNVD-202212-3332

CNNVD-202212-3333

CNNVD-202212-3473

CNNVD-202212-3816

CNNVD-202212-4097

华为

CNNVD-202212-2485

顶想信息科技

CNNVD-202212-2576

授权问题

Auth0

CNNVD-202212-3058

OnCommand  Insight
  授权问题漏洞
  (CNNVD-202212-3653)

Buffalo

CNNVD-202212-2638

Devolutions

CNNVD-202212-3677

IFM

CNNVD-202212-2844

JetBrains

CNNVD-202212-2739

Mobatek

CNNVD-202212-2528

Mozilla基金会

CNNVD-202212-3749

NetApp

CNNVD-202212-3653

Secomea

CNNVD-202212-2763

UNIMO  Technology

CNNVD-202212-1856

个人开发者

CNNVD-202212-3806

CNNVD-202212-4061

操作系统命令注入

Buffalo

CNNVD-202212-2829

Buffalo  network devices
  操作系统命令注入漏洞
  (CNNVD-202212-2829)

IBM

CNNVD-202212-2602

PAX  Technology

CNNVD-202212-3440

Sophos

CNNVD-202212-1825

UNIMO  Technology

CNNVD-202212-1855

个人开发者

CNNVD-202212-2636

台达电子

CNNVD-202212-3230

CNNVD-202212-3231

雄迈科技

CNNVD-202212-1800

缓冲区错误

ASUS

CNNVD-202212-3272

Cisco  IP Phone
  缓冲区错误漏洞
  (CNNVD-202212-2749)

Apple

CNNVD-202212-3020

CNNVD-202212-3021

CNNVD-202212-3022

CNNVD-202212-3024

CNNVD-202212-3025

CNNVD-202212-3027

CNNVD-202212-3028

CNNVD-202212-3030

CNNVD-202212-3031

CNNVD-202212-3040

CNNVD-202212-3115

CNNVD-202212-3336

CNNVD-202212-3343

Asterisk

CNNVD-202212-2138

Autodesk

CNNVD-202212-3555

CNNVD-202212-3556

Cisco

CNNVD-202212-2749

Dromara社区

CNNVD-202212-3129

CNNVD-202212-3130

CNNVD-202212-3131

Fuji  Electric

CNNVD-202212-3660

GPAC

CNNVD-202212-2531

Google

CNNVD-202212-2224

CNNVD-202212-2249

CNNVD-202212-2253

CNNVD-202212-2269

CNNVD-202212-2275

CNNVD-202212-2279

CNNVD-202212-2281

CNNVD-202212-2287

CNNVD-202212-2304

CNNVD-202212-2337

CNNVD-202212-2372

CNNVD-202212-2406

CNNVD-202212-2412

HCL  Technologies

CNNVD-202212-3510

CNNVD-202212-3511

CNNVD-202212-3512

CNNVD-202212-3513

IBM

CNNVD-202212-2644

CNNVD-202212-3507

CNNVD-202212-3508

Linux基金会

CNNVD-202212-3479

CNNVD-202212-3480

CNNVD-202212-3481

CNNVD-202212-3482

CNNVD-202212-3799

CNNVD-202212-3801

NVIDIA

CNNVD-202212-2616

OpenImageIO

CNNVD-202212-3771

PowerISO

CNNVD-202212-2661

Qualcomm

CNNVD-202212-3330

Siemens

CNNVD-202212-3081

CNNVD-202212-3082

CNNVD-202212-3083

CNNVD-202212-3085

CNNVD-202212-3086

CNNVD-202212-3095

CNNVD-202212-3104

CNNVD-202212-3108

CNNVD-202212-3109

CNNVD-202212-3110

CNNVD-202212-3111

TRENDnet

CNNVD-202212-2655

Trend  Micro

CNNVD-202212-2852

CNNVD-202212-2857

VMware

CNNVD-202212-2970

X.Org基金会

CNNVD-202212-3270

CNNVD-202212-3280

CNNVD-202212-3281

个人开发者

CNNVD-202212-3128

CNNVD-202212-3132

CNNVD-202212-3248

CNNVD-202212-3471

CNNVD-202212-3566

中兴通讯

CNNVD-202212-2901

华为

CNNVD-202212-2502

CNNVD-202212-2526

腾达

CNNVD-202212-1798

CNNVD-202212-2676

CNNVD-202212-2677

CNNVD-202212-2678

CNNVD-202212-2679

CNNVD-202212-2680

CNNVD-202212-2681

CNNVD-202212-2682

CNNVD-202212-2683

CNNVD-202212-2684

CNNVD-202212-2685

CNNVD-202212-2686

CNNVD-202212-2687

CNNVD-202212-2688

CNNVD-202212-2689

CNNVD-202212-2690

CNNVD-202212-2691

CNNVD-202212-2692

CNNVD-202212-2693

CNNVD-202212-2694

CNNVD-202212-2696

CNNVD-202212-2698

CNNVD-202212-2699

CNNVD-202212-2700

CNNVD-202212-2706

CNNVD-202212-2900

CNNVD-202212-3432

访问控制错误

OpenEMR

CNNVD-202212-3458

Rockwell  Automation Studio 5000 Logix Designer
  访问控制错误漏洞
  (CNNVD-202212-3803)

Rockwell  Automation

CNNVD-202212-3803

个人开发者

CNNVD-202212-3809

CNNVD-202212-3818

CNNVD-202212-3974

CNNVD-202212-4055

CNNVD-202212-4059

CNNVD-202212-4081

CNNVD-202212-4084

资源管理错误

ARM

CNNVD-202212-2943

ARM  Mali GPU Kernel Driver
  资源管理错误漏洞
  (CNNVD-202212-2943)

Apple

CNNVD-202212-3033

ChainSafe

CNNVD-202212-2657

Dromara

CNNVD-202212-3437

Google

CNNVD-202212-2271

CNNVD-202212-2318

CNNVD-202212-2325

CNNVD-202212-2344

CNNVD-202212-2357

CNNVD-202212-2387

CNNVD-202212-2388

CNNVD-202212-2389

CNNVD-202212-2390

CNNVD-202212-2391

CNNVD-202212-2394

CNNVD-202212-2395

CNNVD-202212-2396

CNNVD-202212-2397

CNNVD-202212-3176

CNNVD-202212-3177

CNNVD-202212-3180

CNNVD-202212-3183

CNNVD-202212-3187

Helm

CNNVD-202212-3328

MirageOS

CNNVD-202212-2651

Omron

CNNVD-202212-3593

Siemens

CNNVD-202212-3077

CNNVD-202212-3096

CNNVD-202212-3107

Vim

CNNVD-202212-1907

CNNVD-202212-2474

X.Org基金会

CNNVD-202212-3271

CNNVD-202212-3274

CNNVD-202212-3283

libp2p

CNNVD-202212-2654

CNNVD-202212-2665

个人开发者

CNNVD-202212-3710

CNNVD-202212-3780

CNNVD-202212-3965

华为

CNNVD-202212-2488

输入验证错误

Apache基金会

CNNVD-202212-3125

NETGEAR  Nighthawk
  输入验证错误漏洞
  (CNNVD-202212-3436)

Apple

CNNVD-202212-3344

Google

CNNVD-202212-2209

CNNVD-202212-2261

CNNVD-202212-2262

CNNVD-202212-2263

CNNVD-202212-2288

CNNVD-202212-2289

CNNVD-202212-2298

CNNVD-202212-2299

CNNVD-202212-2301

CNNVD-202212-2302

CNNVD-202212-2340

CNNVD-202212-2365

CNNVD-202212-2370

CNNVD-202212-2392

CNNVD-202212-2405

CNNVD-202212-3410

Juniper  Networks

CNNVD-202212-3782

NETGEAR

CNNVD-202212-3436

OpenEMR

CNNVD-202212-3359

Paul

CNNVD-202212-3502

Qualcomm

CNNVD-202212-3118

Rockwell  Automation

CNNVD-202212-2788

CNNVD-202212-3450

SAMSUNG

CNNVD-202212-2718

Secomea

CNNVD-202212-2578

Siemens

CNNVD-202212-2985

CNNVD-202212-2986

CNNVD-202212-2987

CNNVD-202212-3101

个人开发者

CNNVD-202212-2815

华为

CNNVD-202212-2510

1、Fortinet FortiADC SQL注入漏洞(CNNVD-202212-2593)

    FortinetFortiADC是美国飞塔(Fortinet)公司的一款应用交付控制器。

    FortinetFortiADC 7.1.0 、7.0.0 至 7.0.2 和6.2.4 及之前版本存在SQL注入漏洞,该漏洞源于使用的特殊元素的不当中和,攻击者利用该漏洞可以执行未经授权的代码或通过特制的 HTTP 请求发送命令。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://fortiguard.com/psirt/FG-IR-21-170

2、Symantec Identity Manager 代码问题漏洞(CNNVD-202212-3417)

    SymantecIdentity Manager是美国赛门铁克(Symantec)公司的一个身份管理系统。

    SymantecIdentity Manager 14.4版本存在安全漏洞,该漏洞源于经过身份验证的用户可以在管理控制台中执行XML外部实体注入。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://support.broadcom.com/external/content/SecurityAdvisories/0/21136

3、NetApp OnCommand Insight 授权问题漏洞(CNNVD-202212-3653)

    NetAppOncommand Insight是美国网络器械(NetApp)公司的一套混合云数据中心管理软件。该软件提供监控和管理多供应商IT基础架构、优化存储资源管理等功能。

    OnCommandInsight 7.3.1版本至7.3.14版本存在安全漏洞,该漏洞源于容易受到数据仓库组件中身份验证绕过漏洞的影响。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://security.netapp.com/advisory/NTAP-20221220-0001/

4、Buffalo network devices 操作系统命令注入漏洞(CNNVD-202212-2829)

    Buffalonetwork devices是日本巴比禄(Buffalo)公司的一系列网络设备。

    Buffalonetwork devices 存在安全漏洞,该漏洞源于未经身份验证的攻击者可以通过精心制作的恶意请求实现任意系统命令执行。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://www.buffalo.jp/news/detail/20221205-01.html

5、Cisco IP Phone 缓冲区错误漏洞(CNNVD-202212-2749)

    CiscoIP Phone是美国思科(Cisco)公司的一个硬件设备。提供通话功能的IP电话。

    CiscoIP Phone 7800和8800系列存在缓冲区错误漏洞,该漏洞源于其固件的Cisco Discovery Protocol允许未经身份验证的相邻攻击者实现栈溢出导致远程代码执行或拒绝服务。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-ipp-oobwrite-8cMF5r7U

6、Rockwell Automation Studio 5000 Logix Designer 访问控制错误漏洞(CNNVD-202212-3803)

    RockwellAutomation Studio 5000 Logix Designer是美国罗克韦尔(Rockwell Automation)公司的一个基于 Windows 的应用程序。用于为PLC 构建程序。

    RockwellAutomation Studio 5000 Logix Designer v.20-33版本存在访问控制错误漏洞,该漏洞源于用户在某些产品服务上被授予较高的权限,恶意用户有可能在目标软件上实现远程代码执行。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://compatibility.rockwellautomation.com/Pages/MultiProductSelector.aspx?crumb=111

7、ARM Mali GPU Kernel Driver 资源管理错误漏洞(CNNVD-202212-2943)

    ARMMali GPU Kernel Driver是英国ARM公司的一个图形处理器单元的驱动程序。

    ArmMali GPU Kernel Driver存在资源管理错误漏洞,该漏洞源于非特权用户可以通过不适当的GPU处理操作来访问已经释放的内存导致释放后重用。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://developer.arm.com/Arm%20Security%20Center/Mali%20GPU%20Driver%20Vulnerabilities

8、NETGEAR Nighthawk 输入验证错误漏洞(CNNVD-202212-3436)

    NETGEARNighthawk是美国网件(NETGEAR)公司的一系列无线路由器。

    NETGEARNighthawk WiFi6 Router存在输入验证错误漏洞,该漏洞源于用户输入过滤不当,攻击者利用该漏洞可以在未经身份验证的情况下在设备上执行任意命令。

  目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

    https://www.netgear.com/
二、漏洞平台推送情况
    2022年12月漏洞平台推送漏洞74171个。

表7 2022年12月漏洞平台推送情况表

序号

漏洞平台

漏洞总量

1

补天平台

65968

2

漏洞盒子

4172

3

360漏洞云

4031

推送总计

74171
三、接报漏洞情况
    2022年12月接报漏洞4368个,其中信息技术产品漏洞(通用型漏洞)619个,网络信息系统漏洞(事件型漏洞)3749个。

表8  2022年12月接报漏洞情况表

序号

报送单位

漏洞数量

1            

北京山石网科信息技术有限公司

2879

2            

北京赛宁网安科技有限公司

365

3            

北京云科安信科技有限公司

228

4            

河南听潮盛世信息技术有限公司

84

5            

上海斗象信息科技有限公司

77

6            

个人

69

7            

远江盛邦(北京)网络安全科技股份有限公司

45

8            

广州锦行网络科技有限公司

40

9            

北京梆梆安全科技有限公司

33

10        

北京国舜科技股份有限公司

28

11        

杭州默安科技有限公司

26

12        

北京长亭科技有限公司

26

13        

北京华顺信安信息技术有限公司

25

14        

杭州海康威视数字技术股份有限公司

23

15        

苏州棱镜七彩信息科技有限公司

20

16        

奇安信网神信息技术(北京)股份有限公司

20

17        

杭州安恒信息技术股份有限公司

19

18        

北京天融信网络安全技术有限公司

18

19        

卫士通(广州)信息安全技术有限公司

16

20        

杰润鸿远(北京)科技有限公司

14

21        

中电信数智科技有限公司

13

22        

三六零数字安全科技集团有限公司

13

23        

北京六方云信息技术有限公司

13

24        

长春嘉诚信息技术股份有限公司

12

25        

西安四叶草信息技术有限公司

12

26        

北京网御星云信息技术有限公司

12

27        

北京安帝科技有限公司

12

28        

神州灵云(北京)科技有限公司

11

29        

安全邦(北京)信息技术有限公司

10

30        

中兴通讯股份有限公司

9

31        

京东科技信息技术有限公司

9

32        

北京五一嘉峪科技有限公司

9

33        

西安交大捷普网络科技有限公司

8

34        

河南悦海数安科技有限公司

8

35        

博智安全科技股份有限公司

8

36        

北京微步在线科技有限公司

8

37        

四维创智(北京)科技发展有限公司

7

38        

北京优炫软件股份有限公司

7

39        

北京永信至诚科技股份有限公司

7

40        

上海安识网络科技有限公司

6

41        

瑞数信息技术(上海)有限公司

6

42        

内蒙古洞明科技有限公司

6

43        

福建经联网络技术有限公司

6

44        

统信软件技术有限公司

5

45        

天津市兴先道科技有限公司

5

46        

上海安几科技有限公司

5

47        

南京众智维信息科技有限公司

5

48        

河南灵创电子科技有限公司

5

49        

北京安华金和科技有限公司

5

50        

浙江大华技术股份有限公司

4

51        

上海上讯信息技术股份有限公司

4

52        

赛尔网络有限公司

4

53        

广州竞远安全技术股份有限公司

4

54        

郑州埃文计算机科技有限公司

3

55        

新华三技术有限公司

3

56        

山东泽鹿安全技术有限公司

3

57        

内蒙古御网科技有限责任公司

3

58        

南京仞安信息技术有限公司

3

59        

河南天祺信息安全技术有限公司

3

60        

北京中测安华科技有限公司

3

61        

北京网猿科技有限公司

3

62        

北京金睛云华科技有限公司

3

63        

深圳海云安网络安全技术有限公司

2

64        

上海齐同信息科技有限公司

2

65        

华为技术有限公司

2

66        

北京墨云科技有限公司

2

67        

北京兰云科技有限公司

2

68        

北京安信天行科技有限公司

2

69        

安徽华云安科技有限公司

2

70        

中能融合智慧科技有限公司

1

71        

长扬科技(北京)股份有限公司

1

72        

天翼数智科技(北京)有限公司

1

73        

深圳市深信服信息安全有限公司

1

74        

深信服科技股份有限公司

1

75        

上海矢安科技有限公司

1

76        

上海谋乐网络科技有限公司

1

77        

内蒙古信元网络安全技术股份有限公司

1

78        

江苏保旺达软件技术有限公司

1

79        

杭州迪普科技股份有限公司

1

80        

广东为辰信息科技有限公司

1

81        

北京知道创宇信息技术股份有限公司

1

82        

北京星阑科技有限公司

1

83        

北京启明星辰信息安全技术有限公司

1

报送合计

4368
四、重大漏洞通报4.1Fortinet FortiOS安全漏洞的通报
  近日,国家信息安全漏洞库(CNNVD)收到关于FortinetFortiOS 安全漏洞(CNNVD-202212-2946、CVE-2022-42475)情况的报送。成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS7.2.0-7.2.2、FortiOS 7.0.0-7.0.8、FortiOS6.4.0-6.4.10、FortiOS 6.2.0-6.2.11、FortiOS-6K7K7.0.0-7.0.7、FortiOS-6K7K 6.4.0-6.4.9、FortiOS-6K7K6.2.0-6.2.11、FortiOS-6K7K 6.0.0-6.0.14等版本均受此漏洞影响。目前,Fortinet官方已经发布了修复漏洞的升级版本,建议用户及时确认产品版本,尽快采取修补措施。

. 漏洞介绍

    Fortinet FortiOS是美国飞塔(Fortinet)公司的一套专用于FortiGate网络安全平台上的操作系统。该系统为用户提供防火墙、防病毒、IPSec/SSLVPN、Web内容过滤和反垃圾邮件等多种安全功能。FortinetFortiOS 存在安全漏洞,攻击者可利用该漏洞在未经身份认证的情况下,通过发送恶意数据导致堆缓冲区溢出,从而实现远程代码执行。

. 危害影响

  成功利用漏洞的攻击者,可向目标设备发送特殊请求,从而远程执行恶意代码。FortiOS7.2.0-7.2.2、FortiOS 7.0.0-7.0.8、FortiOS6.4.0-6.4.10、FortiOS 6.2.0-6.2.11、FortiOS-6K7K7.0.0-7.0.7、FortiOS-6K7K 6.4.0-6.4.9、FortiOS-6K7K6.2.0-6.2.11、FortiOS-6K7K 6.0.0-6.0.14等版本均受此漏洞影响。

. 修复建议

  目前,Fortinet官方已发布新版本修复了该漏洞,请用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:

    https://www.fortiguard.com/psirt/FG-IR-22-398
4.2 微软多个安全漏洞的通报
  近日,微软官方发布了56个安全漏洞的公告,包括Microsoft GraphicsComponent 安全漏洞(CNNVD-202212-3145、CVE-2022-26804)、Microsoft Graphics Component 安全漏洞(CNNVD-202212-3123、CVE-2022-26805)等多个漏洞。成功利用上述漏洞的攻击者可以在目标系统上执行任意代码、获取用户数据,提升权限等。微软多个产品和系统受漏洞影响。目前,微软官方已经发布了漏洞修复补丁,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

. 漏洞介绍

    2022年12月13日,微软发布了2022年12月份安全更新,共56个漏洞的补丁程序,CNNVD对这些漏洞进行了收录。本次更新主要涵盖了MicrosoftWindows 和 Windows 组件、MicrosoftWindows Fax Compose Form、Microsoft Windows Hyper-V、MicrosoftWindows Print Spooler Components、Microsoft Windows DirectX、MicrosoftWindows Error Reporting等。CNNVD对其危害等级进行了评价,其中高危漏洞45个,中危漏洞10个,低危漏洞1个。微软多个产品和系统版本受漏洞影响,具体影响范围可访问

https://portal.msrc.microsoft.com/zh-cn/security-guidance查询。

. 漏洞详情

  此次更新共包括48个新增漏洞的补丁程序,其中高危漏洞40个,中危漏洞8个。

序号

漏洞名称

CNNVD

编号

CVE

编号

危害等级

官方链接

1

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3145

CVE-2022-26804

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26804

2

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3123

CVE-2022-26805

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26805

3

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3122

CVE-2022-26806

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-26806

4

Microsoft Windows PowerShell 安全漏洞

CNNVD-202212-3016

CVE-2022-41076

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41076

5

Microsoft Windows Fax Compose Form 安全漏洞

CNNVD-202212-3014

CVE-2022-41077

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41077

6

Microsoft .NET Framework 安全漏洞

CNNVD-202212-2976

CVE-2022-41089

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41089

7

Microsoft Windows Hyper-V 安全漏洞

CNNVD-202212-3013

CVE-2022-41094

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41094

8

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3012

CVE-2022-41121

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41121

9

Microsoft Dynamics 安全漏洞

CNNVD-202212-3159

CVE-2022-41127

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41127

10

Microsoft Windows Contacts 安全漏洞

CNNVD-202212-3011

CVE-2022-44666

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44666

11

Microsoft Windows Codecs Library 安全漏洞

CNNVD-202212-3009

CVE-2022-44667

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44667

12

Microsoft Windows Codecs Library 安全漏洞

CNNVD-202212-3010

CVE-2022-44668

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44668

13

Microsoft Windows Error Reporting 安全漏洞

CNNVD-202212-3007

CVE-2022-44669

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44669

14

Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞

CNNVD-202212-3006

CVE-2022-44670

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44670

15

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3004

CVE-2022-44671

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44671

16

Microsoft Client Server Run-time Subsystem (CSRSS) 安全漏洞

CNNVD-202212-3003

CVE-2022-44673

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44673

17

Microsoft Bluetooth Driver 安全漏洞

CNNVD-202212-3001

CVE-2022-44675

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44675

18

Microsoft Windows Secure Socket Tunneling Protocol 安全漏洞

CNNVD-202212-2999

CVE-2022-44676

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44676

19

Microsoft Projected File System 安全漏洞

CNNVD-202212-2996

CVE-2022-44677

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44677

20

Microsoft Windows Print Spooler Components 安全漏洞

CNNVD-202212-2992

CVE-2022-44678

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44678

21

Microsoft Graphics Component 安全漏洞

CNNVD-202212-2991

CVE-2022-44680

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44680

22

Microsoft Windows Print Spooler Components 安全漏洞

CNNVD-202212-2993

CVE-2022-44681

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44681

23

Microsoft Windows Kernel 安全漏洞

CNNVD-202212-2981

CVE-2022-44683

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44683

24

Microsoft Windows Codecs Library 安全漏洞

CNNVD-202212-3152

CVE-2022-44687

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44687

25

Microsoft Windows Subsystem for Linux 安全漏洞

CNNVD-202212-2980

CVE-2022-44689

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44689

26

Microsoft SharePoint 安全漏洞

CNNVD-202212-3018

CVE-2022-44690

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44690

27

Microsoft Office 安全漏洞

CNNVD-202212-3121

CVE-2022-44691

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44691

28

Microsoft Office 安全漏洞

CNNVD-202212-3098

CVE-2022-44692

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44692

29

Microsoft SharePoint 安全漏洞

CNNVD-202212-3017

CVE-2022-44693

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44693

30

Microsoft Office Visio 安全漏洞

CNNVD-202212-3084

CVE-2022-44694

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44694

31

Microsoft Office Visio 安全漏洞

CNNVD-202212-3070

CVE-2022-44695

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44695

32

Microsoft Office Visio 安全漏洞

CNNVD-202212-3057

CVE-2022-44696

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44696

33

Microsoft Graphics Component 安全漏洞

CNNVD-202212-2979

CVE-2022-44697

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44697

34

Microsoft Windows Terminal 安全漏洞

CNNVD-202212-3149

CVE-2022-44702

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44702

35

Microsoft SysInternals 安全漏洞

CNNVD-202212-3148

CVE-2022-44704

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44704

36

Microsoft Windows DirectX 安全漏洞

CNNVD-202212-2978

CVE-2022-44710

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44710

37

Microsoft Outlook 安全漏洞

CNNVD-202212-3053

CVE-2022-44713

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44713

38

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3050

CVE-2022-47211

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47211

39

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3046

CVE-2022-47212

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47212

40

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3044

CVE-2022-47213

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-47213

41

Microsoft Outlook 安全漏洞

CNNVD-202212-3157

CVE-2022-24480

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-24480

42

Microsoft Graphics Component 安全漏洞

CNNVD-202212-3015

CVE-2022-41074

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41074

43

Microsoft Bluetooth Driver 安全漏洞

CNNVD-202212-3002

CVE-2022-44674

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44674

44

Microsoft Graphics Component 安全漏洞

CNNVD-202212-2997

CVE-2022-44679

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44679

45

Microsoft Windows Hyper-V 安全漏洞

CNNVD-202212-2983

CVE-2022-44682

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44682

46

Microsoft Windows SmartScreen 安全漏洞

CNNVD-202212-2977

CVE-2022-44698

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44698

47

Microsoft Azure 安全漏洞

CNNVD-202212-3150

CVE-2022-44699

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44699

48

Microsoft Windows Kernel 安全漏洞

CNNVD-202212-2975

CVE-2022-44707

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-44707

  此次更新共包括8个更新漏洞的补丁程序,其中高危漏洞5个,中危漏洞2个,低危漏洞1个。

序号

漏洞名称

CNNVD

编号

CVE

编号

危害等级

官方链接

1

Microsoft SPNEGO Extended Negotiation 安全漏洞

CNNVD-202209-818

CVE-2022-37958

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-37958

2

Microsoft Windows Kerberos 安全漏洞

CNNVD-202211-2288

CVE-2022-37967

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-37967

3

Microsoft Windows Active Directory 安全漏洞

CNNVD-202210-594

CVE-2022-38042

高危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38042

4

Microsoft Exchange Server 安全漏洞

CNNVD-202211-2394

CVE-2022-41078

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41078

5

Microsoft Exchange Server 安全漏洞

CNNVD-202211-2380

CVE-2022-41079

高危

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41079

6

Microsoft Windows Defender 安全漏洞

CNNVD-202208-2556

CVE-2022-34704

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34704

7

Microsoft Windows Portable Device Enumerator Service 安全漏洞

CNNVD-202210-458

CVE-2022-38032

中危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-38032

8

Microsoft Office 安全漏洞

CNNVD-202210-403

CVE-2022-41043

低危

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41043

. 修复建议

  目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认漏洞影响,尽快采取修补措施。微软官方补丁下载地址:

    https://msrc.microsoft.com/update-guide/en-us


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表