情况综述
本月国家信息安全漏洞共享平台(以下简称CNVD)收集整理信息安全漏洞的基本情况如下:
收集整理信息安全漏洞2371个,其中高危漏洞950个,中危漏洞1131个,低危漏洞290个。上述漏洞中,可被利用来实施远程网络攻击的漏洞有1956个。
1. 本月漏洞信息
1.1重要漏洞信息
本月CNVD收集和整理的漏洞信息中,对国内用户广泛使用的信息系统和应用程序影响较大的重要漏洞列表如表1所示。
序号 | 漏洞名称 | 编号及影响产品信息 | 影响描述 | ||
1 | Microsoft多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-72854、CNVD-2022-72857CNVD-2022-72856、CNVD-2022-72855CNVD-2022-72859、CNVD-2022-74591CNVD-2022-74593、CNVD-2022-74597CNVD-2022-74600、CNVD-2022-74601 | 本月,Microsoft多款产品存在安全漏洞。攻击者可利用该漏洞在目标主机上执行代码。本月漏洞包括:Microsoft Windows LDAP远程代码执行漏洞(CNVD-2022-72854、CNVD-2022-72857、CNVD-2022-72856、CNVD-2022-72855、CNVD-2022-72859)、Microsoft Dynamics 365 (on-premises)远程代码执行漏洞、Microsoft Windows Graphics组件远程代码执行漏洞(CNVD-2022-74593)、Microsoft Windows Server Service远程代码执行漏洞、Microsoft Windows Remote Desktop Protocol远程代码执行漏洞、Microsoft Windows Network File System远程代码执行漏洞(CNVD-2022-74601)等。 | |
其他编号 | CVE-2022-22013、CVE-2022-29131 CVE-2022-22012、CVE-2022-29128 CVE-2022-29129、CVE-2022-23259 CVE-2022-26903、CVE-2022-24541 CVE-2022-24533、CVE-2022-24497 | ||||
发布时间 | 2022-11-01 | ||||
影响产品 | Microsoft Windows 7 Microsoft Windows 10 Microsoft Windows 11 Microsoft Windows 8.1 Microsoft Dynamics 365 Microsoft Windows RT 8.1 Microsoft Windows Server Microsoft Windows Server 2012 Microsoft Windows Server 2016 Microsoft Windows Server 2008 Microsoft Windows Server 2019 Microsoft Windows Server 2022 | ||||
2 | Apache多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-73123、CNVD-2022-73687 CNVD-2022-73688、CNVD-2022-73689 CNVD-2022-76232、CNVD-2022-78863 CNVD-2022-78862、CNVD-2022-79657 CNVD-2022-79656、CNVD-2022-79660 | 本月,Apache多款产品存在安全漏洞。攻击者可利用该漏洞在系统上执行任意代码,造成拒绝服务等。本月漏洞包括:Apache HTTP Server数据伪造问题漏洞(CNVD-2022-73123)、Apache Commons JXPath缓冲区溢出漏洞(CNVD-2022-73687、CNVD-2022-73688、CNVD-2022-73689)、Apache UIMA路径遍历漏洞、Apache Airflow信息泄露漏洞(CNVD-2022-78863)、Apache Airflow代码注入漏洞、Apache InLong反序列化漏洞、Apache MINA反序列化漏洞、Apache Dubbo反序列化漏洞等。 | |
其他编号 | CVE-2022-31813、CVE-2022-40158 CVE-2022-40157、CVE-2022-40159 CVE-2022-32287、CVE-2022-27949 CVE-2022-40127、CVE-2022-40955 CVE-2022-45047、CVE-2021-36163 | ||||
发布时间 | 2022-11-23 | ||||
影响产品 | Apache Airflow Apache InLong Apache MINA Apache Dubbo Apache HTTP Server Apache commons jxpath Apache unstructured information management architecture | ||||
3 | Adobe多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-76629、CNVD-2022-76630CNVD-2022-76632、CNVD-2022-78869CNVD-2022-78868、CNVD-2022-79412CNVD-2022-79413、CNVD-2022-79422CNVD-2022-79424、CNVD-2022-79423 | 本月,Adobe多款产品存在安全漏洞。攻击者利用该漏洞在系统上执行任意代码,导致应用程序崩溃。本月漏洞包括:Adobe Illustrator代码执行漏洞、Adobe Illustrator输入验证错误漏洞、Adobe Illustrator越界写入漏洞(CNVD-2022-76632)、Adobe Dimension内存错误引用漏洞(CNVD-2022-78869)、Adobe Dimension越界读取漏洞(CNVD-2022-78868)、Adobe InDesign堆缓冲区溢出漏洞(CNVD-2022-79412、CNVD-2022-79422)、Adobe InDesign越界写入漏洞(CNVD-2022-79413)、Adobe InDesign越界读取漏洞(CNVD-2022-79424、CNVD-2022-79423)等。 | |
其他编号 | CVE-2022-30646、CVE-2022-30638 CVE-2022-30637、CVE-2022-38445 CVE-2022-38441、CVE-2022-38415 CVE-2022-28853、CVE-2022-38414 CVE-2022-38417、CVE-2022-38416 | ||||
发布时间 | 2022-11-14 | ||||
影响产品 | Adobe InDesign Adobe Dimension Adobe Illustrator 2022 Adobe Illustrator 2021 | ||||
4 | Siemens多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-75536、CNVD-2022-75535CNVD-2022-75540、CNVD-2022-75539CNVD-2022-75538、CNVD-2022-75541CNVD-2022-75551、CNVD-2022-75550CNVD-2022-75549、CNVD-2022-75553 | 本月,Siemens多款产品存在安全漏洞。攻击者可利用该漏洞在当前进程的上下文中执行代码。本月漏洞包括:Siemens Parasolid越界读取漏洞、Siemens Parasolid越界写入漏洞、Siemens POWER METER SICAM Q100输入验证错误漏洞(CNVD-2022-75540、CNVD-2022-75539、CNVD-2022-75538)、Siemens POWER METER SICAM Q100会话固定漏洞、Siemens JT2Go and Teamcenter Visualization越界读取漏洞(CNVD-2022-75551、CNVD-2022-75550)、Siemens JT2Go and Teamcenter Visualization免费后使用漏洞、Siemens JT2Go and Teamcenter Visualization缓冲区溢出漏洞等。 | |
其他编号 | CVE-2022-39157、CVE-2022-43397 CVE-2022-43439、CVE-2022-43545 CVE-2022-43546、CVE-2022-43398 CVE-2022-41661、CVE-2022-41662 CVE-2022-41663、CVE-2022-39136 | ||||
发布时间 | 2022-11-09 | ||||
影响产品 | SIEMENS JT2Go Siemens Parasolid Siemens Teamcenter Visualization Siemens POWER METER SICAM Q100 (7KG9501-0AA01-2AA1) | ||||
5 | IBM多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-77508、CNVD-2022-77507CNVD-2022-77506、CNVD-2022-77509CNVD-2022-77515、CNVD-2022-77514CNVD-2022-77513、CNVD-2022-77512CNVD-2022-77519、CNVD-2022-77516 | 本月,IBM多款产品存在安全漏洞。攻击者可利用该漏洞在系统上执行任意命令,暴露敏感信息或消耗内存资源,导致拒绝服务等。本月漏洞包括:IBM InfoSphere Information Server拒绝服务漏洞、IBM InfoSphere Information Server跨站脚本漏洞(CNVD-2022-77507、CNVD-2022-77506、CNVD-2022-77519)、IBM InfoSphere Information Server访问控制错误漏洞(CNVD-2022-77509)、IBM InfoSphere Information Server操作系统命令注入漏洞、IBM InfoSphere Information Server CSV注入漏洞、IBM InfoSphere Information Server跨站请求伪造漏洞、IBM InfoSphere Information Server XML外部实体注入(XXE)漏洞、IBM Robotic Process Automation授权问题漏洞(CNVD-2022-77512)等。 | |
其他编号 | CVE-2022-40235、CVE-2022-30615 CVE-2022-35642、CVE-2022-22442 CVE-2022-35717、CVE-2022-22425 CVE-2022-30608、CVE-2022-43574 CVE-2022-40748、CVE-2022-40747 | ||||
发布时间 | 2022-11-16 | ||||
影响产品 | IBM Robotic Process Automation IBM InfoSphere Information Server IBM Robotic Process Automation for Cloud Pak | ||||
6 | Tenda多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-75788、CNVD-2022-78483 CNVD-2022-78503、CNVD-2022-78505 CNVD-2022-78508、CNVD-2022-78510 CNVD-2022-78512、CNVD-2022-78511 CNVD-2022-78513、CNVD-2022-78515 | 本月,Tenda多款产品存在安全漏洞。攻击者可利用该漏洞导致缓冲区溢出或堆溢出并在系统上执行任意代码。本月漏洞包括:Tenda W6堆栈溢出漏洞(CNVD-2022-75788)、Tenda AX180堆栈溢出漏洞(CNVD-2022-78483)、Tenda AC1206缓冲区溢出漏洞(CNVD-2022-78503、CNVD-2022-78505、CNVD-2022-78508、CNVD-2022-78510、CNVD-2022-78512、CNVD-2022-78511、CNVD-2022-78513、CNVD-2022-78515)等。 | |
其他编号 | CVE-2022-35560、CVE-2022-37824 CVE-2022-37800、CVE-2022-37804 CVE-2022-37813、CVE-2022-37807 CVE-2022-37806、CVE-2022-37805 CVE-2022-37811、CVE-2022-37812 | ||||
发布时间 | 2022-11-18 | ||||
影响产品 | Tenda W6 Tenda AX1803 Tenda AC1206 | ||||
7 | Linux多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-74084、CNVD-2022-74086CNVD-2022-74085、CNVD-2022-74088CNVD-2022-74087、CNVD-2022-74090CNVD-2022-74089、CNVD-2022-74092CNVD-2022-79428、CNVD-2022-79427 | 本月,Linux多款产品存在安全漏洞。攻击者可利用该漏洞通过连接到基于Web的管理界面并请求URLs从而检索敏感信息,在系统上执行任意代码,或在某些配置中获得提升的权限,导致拒绝服务等。本月漏洞包括:Linux kernel竞争条件漏洞(CNVD-2022-74084)、Linux kernel拒绝服务漏洞(CNVD-2022-74086、CNVD-2022-79428、CNVD-2022-74090)、Linux kernel访问控制错误漏洞(CNVD-2022-74085)、Linux Kernel竞争条件问题漏洞(CNVD-2022-74088)、Linux kernel资源管理错误漏洞(CNVD-2022-74087、CNVD-2022-74092)、Linux Kerne代码问题漏洞、Linux Kernel缓冲区溢出漏洞(CNVD-2022-79427)等。 | |
其他编号 | CVE-2022-44034、CVE-2022-3606 CVE-2021-4037、CVE-2022-2590 CVE-2022-3586、CVE-2022-42722 CVE-2021-3659、CVE-2022-1198 CVE-2021-4150、CVE-2022-27666 | ||||
发布时间 | 2022-11-03 | ||||
影响产品 | Linux kernel | ||||
8 | F5多款产品存在安全漏洞 | CNVD编号 | CNVD-2022-72753、CNVD-2022-72752CNVD-2022-72755、CNVD-2022-72757CNVD-2022-72756、CNVD-2022-77521CNVD-2022-77524、CNVD-2022-77522CNVD-2022-77525、CNVD-2022-77529 | 本月,F5多款产品存在安全漏洞。攻击者可利用该漏洞在当前登录用户的上下文中执行JavaScript,导致拒绝服务等。本月漏洞包括:F5 BIG-IP输入验证错误漏洞(CNVD-2022-72753、CNVD-2022-77524)、F5 BIG-IP代码问题漏洞(CNVD-2022-72752、CNVD-2022-72755、CNVD-2022-72756、CNVD-2022-77521、CNVD-2022-77525)、F5 BIG-IP资源管理错误漏洞(CNVD-2022-72757、CNVD-2022-77522)、F5 BIG-IP跨站脚本漏洞(CNVD-2022-77529)等。 | |
其他编号 | CVE-2022-23019、CVE-2022-23022 CVE-2022-23017、CVE-2022-23015 CVE-2022-23016、CVE-2022-28714 CVE-2022-28705、CVE-2022-28701 CVE-2022-29491、CVE-2022-28716 | ||||
发布时间 | 2022-11-01 | ||||
影响产品 | F5 BIG-IP (APM) F5 BIG-IP APM Clients F5 BIG-IP (all modules) F5 BIG-IP (AFM, CGNAT, PEM) | ||||
表1 本月重要漏洞信息
1.2漏洞分类统计
根据漏洞影响对象的类型,漏洞可分为WEB应用、应用程序、操作系统、网络设备(交换机、路由器等网络端设备)、数据库、安全产品(如、入侵检测系统等)和智能设备(物联网终端设备)漏洞。不同类型漏洞的分布如图1所示,本月WEB应用占比例较大。与前12个月相比,本月应用程序、WEB应用、网络设备(交换机、路由器等网络端设备)漏洞的数量处于高位,数据库、安全产品、智能设备(物联网终端设备),操作系统漏洞的数量处于低位。
图1 漏洞类型分布
1.3漏洞被关注情况
根据对用户查阅CNVD漏洞信息次数的统计,本月用户关注度最高的5个漏洞如表2所示。
关注度排名 | 漏洞名称 | CNVD编号 | 发布时间 |
1 | 厦门纳龙科技有限公司多中心运维管理系统存在逻辑缺陷漏洞 | CNVD-2022-71615 | 2022/11/2 |
2 | 深圳市蓝凌软件股份有限公司蓝凌智慧协同平台存在SQL注入漏洞 | CNVD-2022-70699 | 2022/11/3 |
3 | Linux kernel拒绝服务漏洞(CNVD-2022-79428) | CNVD-2022-79428 | 2022/11/23 |
4 | 达梦数据库管理系统(DM8)存在逻辑缺陷漏洞 | CNVD-2022-72183 | 2022/11/10 |
5 | Siemens QMS Automotive信息泄露漏洞 | CNVD-2022-75537 | 2022/11/9 |
表2 本月被关注漏洞TOP5
从表2可以看出,本月用户关注的主要是厦门纳龙科技有限公司多中心运维管理系统存在逻辑缺陷漏洞,其访问量达到15次以上。
1.4漏洞趋势
本月,CNVD收集整理信息安全漏洞2371个,与前12个月平均收录数量2013个相比,处于高位;本月高危漏洞950个,与前12个月高危漏洞平均收录数量648个相比,处于高位。本月的总体漏洞趋势如图2所示。
图2 漏洞发布趋势
由图2所示,本月2日发布的安全漏洞数量最多,高达230个,主要是因为收录了新华三技术有限公司、深圳昆仑技创科技开发有限责任公司等多款产品存在的多个漏洞。
