情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞1625个,其中高危漏洞640个,中危漏洞766个,低危漏洞219个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1364个。
1. 本月漏洞信息
1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
序号 | 漏洞名称 | 编号及影响产品信息 | 影响描述 | ||
1 | Adobe多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-67828、CNVD-2022-67832CNVD-2022-67831、CNVD-2022-67830CNVD-2022-67829、CNVD-2022-67833CNVD-2022-67849、CNVD-2022-67848CNVD-2022-67852、CNVD-2022-67851 | 本月,Adobe多款产品存在安全漏洞。攻击者可利用该漏洞绕过ASLR等缓解措施,导致敏感内存泄露,在当前用户的上下文中执行任意代码等。本月漏洞包括:Adobe Character Animator 2021越界读取漏洞(CNVD-2022-67828、CNVD-2022-67831)、Adobe Character Animator 2021内存损坏漏洞(CNVD-2022-67832、CNVD-2022-67833)、Adobe Character Animator 2021内存缓冲区越界访问漏洞(CNVD-2022-67830)、Adobe Character Animator 2021空指针解引用漏洞(CNVD-2022-67829)、Adobe After Effects缓冲区溢出漏洞(CNVD-2022-67849、CNVD-2022-67848)、Adobe Lightroom Classic权限提升漏洞、Adobe Bridge内存损坏漏洞(CNVD-2022-67851)等。 | |
其他编号 | CVE-2021-40769、CVE-2021-40765 CVE-2021-40766、CVE-2021-40767 CVE-2021-40768、CVE-2021-40764 CVE-2022-27783、CVE-2022-27784 CVE-2021-40776、CVE-2021-42724 | ||||
发布时间 | 2022-10-10 | ||||
影响产品 | Adobe Character Animator 2021 Adobe After Effects Adobe Adobe Lightroom Classic Adobe Adobe Bridg | ||||
2 | Apache多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-69162、CNVD-2022-69471CNVD-2022-69470、CNVD-2022-69469CNVD-2022-69468、CNVD-2022-69474CNVD-2022-69473、CNVD-2022-69472CNVD-2022-69475、CNVD-2022-70071 | 本月,Apache多款产品存在多个漏洞,攻击者可以利用该漏洞通过中间人攻击,公开身份验证数据,在目标服务器上执行任意代码等。本月漏洞包括:Apache Pulsar信任管理问题漏洞(CNVD-2022-69162、CNVD-2022-69470、CNVD-2022-69468)、Apache Airflow开放重定向漏洞、Apache Pulsar Proxy输入验证错误漏洞、Apache OFBiz跨站脚本漏洞(CNVD-2022-69474)、Apache IoTDB访问控制错误漏洞、Apache IoTDB授权问题漏洞(CNVD-2022-69472)、Apache Tapestry拒绝服务漏洞(CNVD-2022-69475)、Apache Dubbo Hession反序列化漏洞等。 | |
其他编号 | CVE-2022-33681、CVE-2022-40754 CVE-2022-33683、CVE-2022-24280 CVE-2022-33682、CVE-2022-25370 CVE-2022-38370、CVE-2022-38369 CVE-2022-31781、CVE-2022-39198 | ||||
发布时间 | 2022-10-18 | ||||
影响产品 | Apache Pulsar Apache Airflow Apache Pulsar Proxy Apache OFBiz Apache IoTDB Apache Tapestry Apache Dubbo | ||||
3 | Apple多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-71509、CNVD-2022-71990CNVD-2022-71988、CNVD-2022-71994CNVD-2022-71992、CNVD-2022-71991CNVD-2022-71999、CNVD-2022-71998CNVD-2022-71997、CNVD-2022-71996 | 本月,Apple多款产品存在安全漏洞。攻击者可利用该漏洞导致设备内存泄露,权限提升,执行恶意代码等。本月漏洞包括:Apple macOS Monterey缓冲区溢出漏洞(CNVD-2022-71990)、Apple macOS Monterey缓冲区溢出漏洞、Apple iOS and iPadOS输入验证错误漏洞、Apple iOS and iPadOS操作系统内核缓冲区溢出漏洞、Apple iOS and iPadOS任意代码执行漏洞、Apple iOS and iPadOS WebKit缓冲区溢出漏洞、Apple iOS and iPadOS GPU驱动程序缓冲区溢出漏洞、Apple iOS and iPadOS GPU驱动程序代码注入漏洞、 Apple macOS Safari缓冲区溢出漏洞、 Apple iPadOS和Apple iOS缓冲区溢出漏洞等。 | |
其他编号 | CVE-2022-42827、CVE-2022-32796 CVE-2022-32912、CVE-2022-32788 CVE-2022-32798、CVE-2022-32793 CVE-2022-32821、CVE-2022-32816 CVE-2022-32829、CVE-2022-32792 | ||||
发布时间 | 2022-10-27 | ||||
影响产品 | Apple iOS Apple iPadOS Apple MacOS Apple Safari Apple iphone os Apple tvOS Apple watchOS | ||||
4 | Google多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-68537、CNVD-2022-71979 CNVD-2022-71980、CNVD-2022-71981 CNVD-2022-71982、CNVD-2022-71983 CNVD-2022-71984、CNVD-2022-71985 CNVD-2022-71986、CNVD-2022-72440 | 本月,Google多款产品存在安全漏洞。攻击者可利用该漏洞获取敏感信息,在系统上执行任意代码等。本月漏洞包括:Google Android信息泄露漏洞(CNVD-2022-68537、CNVD-2022-71979、CNVD-2022-71980、CNVD-2022-71985、CNVD-2022-71982)、Google Android代码执行漏洞(CNVD-2022-71983、CNVD-2022-71984、CNVD-2022-71986)、Google Android权限许可和访问控制问题漏洞(CNVD-2022-72440)、Google Android拒绝服务漏洞(CNVD-2022-71981)等。 | |
其他编号 | CVE-2021-39637、CVE-2021-0891 CVE-2021-0946、CVE-2022-20355 CVE-2021-0947、CVE-2022-20239 CVE-2022-20283、CVE-2022-20317 CVE-2022-20362、CVE-2022-20124 | ||||
发布时间 | 2022-10-28 | ||||
影响产品 | Google Android | ||||
5 | Microsoft多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-67839、CNVD-2022-67838CNVD-2022-67837、CNVD-2022-67842CNVD-2022-67841、CNVD-2022-67840CNVD-2022-67845、CNVD-2022-67844CNVD-2022-67843、CNVD-2022-67846 | 本月,Microsoft多款产品存在安全漏洞。攻击者可利用该漏洞提升权限,在目标主机上执行代码等。本月漏洞包括:Microsoft Azure Site Recovery远程代码执行漏洞(CNVD-2022-67840)、Microsoft Visual Studio远程代码执行漏洞(CNVD-2022-67839)、Microsoft Exchange Server远程代码执行漏洞(CNVD-2022-67838)、Microsoft Exchange Server权限提升漏洞(CNVD-2022-67837、CNVD-2022-67846)、Microsoft Azure Site Recovery权限提升漏洞(CNVD-2022-67842、CNVD-2022-67841、CNVD-2022-67845、CNVD-2022-67844、CNVD-2022-67843)等。 | |
其他编号 | CVE-2022-35825、CVE-2022-41082 CVE-2022-41040、CVE-2022-35781 CVE-2022-35780、CVE-2022-35772 CVE-2022-35813、CVE-2022-35815 CVE-2022-35802、CVE-2022-24477 | ||||
发布时间 | 2022-10-10 | ||||
影响产品 | Microsoft Visual Studio 2017 Microsoft Visual Studio 2019 Microsoft Visual Studio 2015 Microsoft Visual Studio 2022 Microsoft Visual Studio 2012 Microsoft Visual Studio 2013 Microsoft Exchange Server Microsoft Azure Site Recovery VMWare to Azure Microsoft Exchange Server 2013 Cumulative Update 23 | ||||
6 | Samsung多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-67278、CNVD-2022-67280CNVD-2022-67286、CNVD-2022-69736CNVD-2022-69735、CNVD-2022-69737CNVD-2022-70731、CNVD-2022-70736CNVD-2022-70747、CNVD-2022-70749 | 本月,Samsung多款产品存在安全漏洞。攻击者可利用该漏洞启动某些活动,触发崩溃等。本月漏洞包括:Samsung mobile RemoteViews权限提升漏洞(CNVD-2022-67278)、Samsung mobile SECRIL输入验证错误漏洞(CNVD-2022-67280)、Samsung mobile DisplayToast信息泄露漏洞(CNVD-2022-67286)、Samsung CACertificateInfo权限提升漏洞、Samsung AppLinker隐式意图劫持漏洞、Samsung App lock身份验证错误漏洞、Samsung Galaxy Store输入验证错误漏洞(CNVD-2022-70731)、Samsung InputManagerService未授权访问漏洞、Samsung SmartThings访问控制错误漏洞、Samsung Telecom授权问题漏洞等。 | |
其他编号 | CVE-2022-30710、CVE-2022-30709 CVE-2022-30716、CVE-2022-33703 CVE-2022-30754、CVE-2022-30755 CVE-2022-33710、CVE-2022-33695 CVE-2022-30749、CVE-2022-22292 | ||||
发布时间 | 2022-10-19 | ||||
影响产品 | Samsung Q(10) Samsung R(11) Samsung S(12) Samsung Mobile devices Samsung Galaxy Store Samsung SmartThings | ||||
7 | WordPress多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-67548、CNVD-2022-67547CNVD-2022-67546、CNVD-2022-67549CNVD-2022-67558、CNVD-2022-67602CNVD-2022-68904、CNVD-2022-69135CNVD-2022-69132、CNVD-2022-70763 | 本月,WordPress多款产品存在安全漏洞。攻击者可利用该漏洞导致SQL注入等。本月漏洞包括:WordPress Order Listener for WooCommerce plugin SQL注入漏洞、WordPress RSVPMaker plugin SQL注入漏洞(CNVD-2022-67547、CNVD-2022-67546)、WordPress Tipsacarrier plugin访问控制错误漏洞、WordPress Subscribe To Comments Reloaded plugin跨站请求伪造漏洞、WordPress Ninja Forms-File Uploads Extension Plugin任意文件上传漏洞、WordPress Astra Pro Addon Plugin SQL注入漏洞、WordPress Motor theme授权问题漏洞、WordPress ProfilePress plugin信任管理问题漏洞、WordPress Block Bad Bots plugin SQL注入漏洞等。 | |
其他编号 | CVE-2022-0948、CVE-2022-1505 CVE-2022-1453、CVE-2021-25002 CVE-2022-29414、CVE-2022-0888 CVE-2021-24507、CVE-2021-24375 CVE-2021-34621、CVE-2021-25070 | ||||
发布时间 | 2022-10-09 | ||||
影响产品 | WordPress Order Listener for WooCommerce plugin WordPress RSVPMaker Plugin WordPress Tipsacarrier plugin WordPress Subscribe To Comments Reloaded Plugin WordPress Ninja Forms - File Uploads Extension WordPress Astra Pro Addon Plugin WordPress Motor theme WordPress ProfilePress WordPress Block Bad Bots plugin | ||||
8 | F5多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-70618、CNVD-2022-70623CNVD-2022-70622、CNVD-2022-72256 CNVD-2022-70620、CNVD-2022-70619CNVD-2022-70626、CNVD-2022-70625CNVD-2022-70624、CNVD-2022-70627 | 本月,F5多款产品存在安全漏洞。攻击者可利用该漏洞读取本地文件并强制BIG-IP发送HTTP请求,在BIG-IP系统上造成拒绝服务等。本月漏洞包括:F5 BIG-IP XML外部实体注入漏洞(CNVD-2022-70618)、F5 BIG-IP代码问题漏洞(CNVD-2022-70623、CNVD-2022-70624、CNVD-2022-70627)、F5 BIG-IP配置文件漏洞、F5 BIG-IP AFM存在未明漏洞、F5 BIG-IP FastL4配置文件漏洞、F5 BIG-IP资源管理错误漏洞(CNVD-2022-70619、CNVD-2022-70626)、F5 BIG-IP AFM资源管理错误漏洞等。 | |
其他编号 | CVE-2022-23031、CVE-2022-23026 CVE-2022-23027、CVE-2022-23020 CVE-2022-23029、CVE-2022-23030 CVE-2022-23023、CVE-2022-23024 CVE-2022-23025、CVE-2022-23021 | ||||
发布时间 | 2022-10-24 | ||||
影响产品 | F5 BIG-IP (Advanced , ASM, FPS) F5 BIG-IP (ASM, Advanced WAF) F5 BIG-IP (all modules) F5 BIG-IP (AFM) F5 BIG-IQ Centralized Management | ||||
表1 本月重要漏洞信息
1.2漏洞分类统计
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,本月操作系统漏洞的数量处于高位,WEB应用、安全产品、应用程序、数据库、网络设备(交换机、路由器等网络端设备)、智能设备(物联网终端设备)漏洞的数量处于低位。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
关注度排名 | 漏洞名称 | CNVD编号 | 发布时间 |
1 | Apache Dubbo Hession反序列化漏洞 | CNVD-2022-70071 | 2022/10/20 |
2 | Apache Commons JXPath缓冲区溢出漏洞 | CNVD-2022-70024 | 2022/10/20 |
3 | 亿赛通电子文档安全管理系统存在多个漏洞 | CNVD-2022-64951 | 2022/10/05 |
4 | 达梦数据库管理系统存在二进制漏洞 | CNVD-2022-67052 | 2022/10/10 |
5 | Rocket.Chat SQL注入漏洞 | CNVD-2022-70028 | 2022/10/20 |
表2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是Apache Dubbo Hession反序列化漏洞 ,其访问量达到20次以上。
本月,CNVD收集整理信息安全漏洞1625个,与前12个月平均收录数量1985个相比,处于低位;本月高危漏洞640个,与前12个月高危漏洞平均收录数量623个相比,处于高位。本月的总体漏洞趋势如图2所示。
图2 漏洞发布趋势
由图2所示,本月22日发布的安全漏洞数量最多,高达173个,主要是因为收录了Linux、WordPress等多款产品存在的多个漏洞。
