安全漏洞通报 2022年7月 第一期

 本期漏洞一览

Siemens SIMATIC WinCC OA客户端验证漏洞（CVE-2022-33139）

漏洞描述：Siemens SIMATIC WinCC OA是德国西门子公司的一个功能强大、灵活 多样的SCADA系统。Siemens SIMATIC WinCC OA使用客户端进行身份校验漏洞，允许远程攻击者利用漏洞提交特殊的请求，可未授权访问系统。

漏洞级别：高

受影响范围：

Siemens SIMATIC WinCC OA v3.16

Siemens SIMATIC WinCC OA v3.17

Siemens SIMATIC WinCC OA v3.18

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://cert-portal.siemens.com/productcert/pdf/ssa-111512.pdf

Microsoft Edge CVE-2022-33638权限提升漏洞（CVE-2022-33638）

漏洞描述：Microsoft Edge是美国微软（Microsoft）公司的一款Windows 10之后版本系统附带的Web浏览器。Microsoft Edge存在竞争条件漏洞，允许远程攻击者利用漏洞提交特殊的web页请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Microsoft Edge

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-33638

Microsoft Edge CVE-2022-30192权限提升漏洞（CVE-2022-30192）

漏洞描述：Microsoft Edge是美国微软（Microsoft）公司的一款Windows 10之后版本系统附带的Web浏览器。Microsoft Edge存在竞争条件漏洞，允许远程攻击者利用漏洞提交特殊的web页请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Microsoft Edge

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30192

Google Chrome Base内存错误引用代码执行漏洞（CVE-2022-2156）

漏洞描述：Google Chrome是美国谷歌（Google）公司的一款流行的Web浏览器。Google Chrome Base存在释放后使用漏洞，允许远程攻击者利用漏洞提交特殊的web请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Google Chrome < 103.0.5060.53

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

Google Chrome Interest groups内存错误引用代码执行漏洞（CVE-2022-2157） 

漏洞描述： Google Chrome是美国谷歌（Google）公司的一款流行的Web浏览器。Google Chrome Interest groups存在释放后使用漏洞，允许远程攻击者利用漏洞提交特殊的web请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Google Chrome < 103.0.5060.53

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

Google Chrome Cast UI and Toolbar内存错误引用代码执行漏洞（CVE-2022-2163）

漏洞描述：Google Chrome是美国谷歌（Google）公司的一款流行的Web浏览器。Google Chrome Cast UI and Toolbar存在释放后使用漏洞，允许远程攻击者利用漏洞提交特殊的web请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Google Chrome < 103.0.5060.53

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

Google Chrome V8类型混淆代码执行漏洞（CVE-2022-2158）

漏洞描述：Google Chrome是美国谷歌（Google）公司的一款流行的Web浏览器。Google Chrome V8存在类型混淆漏洞，允许远程攻击者利用漏洞提交特殊的web请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Google Chrome < 103.0.5060.53

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

Google Chrome DevTools不充分策略执行代码执行漏洞（CVE-2022-2160）

漏洞描述：Google Chrome是美国谷歌（Google）公司的一款流行的Web浏览器。Google Chrome DevTools存在不充分策略执行漏洞，允许远程攻击者利用漏洞提交特殊的web请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Google Chrome < 103.0.5060.53

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

   Google Chrome File System API不充分策略执行代码执行漏洞（CVE-2022-2160）

漏洞描述：Google Chrome是美国谷歌（Google）公司的一款流行的Web浏览器。Google Chrome File System API存在不充分策略执行漏洞，允许远程攻击者利用漏洞提交特殊的web请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Google Chrome < 103.0.5060.53

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

Google Chrome Extensions API不充分策略执行代码执行漏洞（CVE-2022-2164）

漏洞描述：Google Chrome是美国谷歌（Google）公司的一款流行的Web浏览器。Google Chrome Extensions API存在不充分策略执行漏洞，允许远程攻击者利用漏洞提交特殊的web请求，诱使用户解析，可使应用程序崩溃或以应用程序上下文执行任意代码。

漏洞级别：高

受影响范围：Google Chrome < 103.0.5060.53

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://chromereleases.googleblog.com/2022/06/stable-channel-update-for-desktop_21.html

    Spring Cloud Function Catalog组件拒绝服务漏洞（CVE-2022-22979）

漏洞描述：Spring Cloud是Spring社区的一款基于Spring Boot实现的微服务框架。Spring Cloud Function Catalog组件缓存处理存在安全漏洞，允许远程攻击者利用漏洞提交特殊的请求，可使应用程序崩溃，造成拒绝服务攻击。

漏洞级别：中

受影响范围：Spring Cloud Function < 3.2.6

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://tanzu.vmware.com/security/cve-2022-22979

RG-EG series gateway EG350 alarmService.php Sql注入漏洞（CVE-2022-33128）

漏洞描述： RG-EG series gateway EG350是一款锐捷网关产品。RG-EG series gateway EG350 alarmService.php存在sql注入漏洞，允许远程攻击者可以利用漏洞提交特殊的SQL请求，操作数据库，可获取敏感信息或执行任意代码。

漏洞级别：中

受影响范围：RG-EG series gateway EG350 EG_RGOS 11.1(6) 

    eyoucms login跨站脚本漏洞（CVE-2022-33122）

漏洞描述：eyoucms是一款内容管理系统。eyoucms login页面存在跨站脚本漏洞，允许远程攻击者利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话。

漏洞级别：中

受影响范围：eyoucms v1.5.6

修复建议：用户可参考如下厂商提供的安全补丁以修复该漏洞：https://github.com/eyoucms/eyoucms/issues/24

长按二维码关注我们