【风险通告】CISA 2022已知被利用的漏洞列表（十四）

CVE

供应商/项目

漏洞名称

说明

修复截止日期

CVE-2022-1096

Google

Google  Chromium V8 类型混淆漏洞

Chromium  V8 组件中存在类型混淆漏洞，影响了所有基于 Chromium 的浏览器。Google已在Chrome 99.0.4844.84中修复了此漏洞（适用于 Windows、Mac 和 Linux）。

2022/4/18

CVE-2022-0543

Redis

Debian  特有的 Redis  Server Lua 沙盒逃逸漏洞

Redis  容易出现（仅限 于Debian系列） Lua 沙盒逃逸，可能导致远程代码执行。该漏洞的CVSSv3评分为10.0。

2022/4/18

CVE-2021-38646

Microsoft

Microsoft  Office Access 连接引擎远程代码执行漏洞

Microsoft  Office Access 连接引擎包含未明漏洞，可能导致远程代码执行。

2022/4/18

CVE-2021-34486

Microsoft

Microsoft  Windows 事件跟踪权限提升漏洞

Microsoft  Windows 事件跟踪包含未明漏洞，该漏洞可能允许提权。

2022/4/18

CVE-2021-26085

Atlassian

Atlassian  Confluence Server 预授权任意文件读取漏洞

Atlassian  Confluence Server 7.4.10之前的版本、以及7.12.3之前的7.5.0版本允许远程攻击者通过 /s/ 端点中的预授权任意文件读取漏洞查看受限资源。

2022/4/18

CVE-2021-20028

SonicWall

SonicWall  Secure Remote Access(SRA) SQL 注入漏洞

SonicWall  安全远程访问 (SRA) 产品存在SQL注入漏洞，影响了某些不受支持的SRA产品，特别是运行所有8.x固件和9.0.0.9-26sv或更早版本的SRA设备。

2022/4/18

CVE-2019-7483

SonicWall

SonicWall  SMA100 目录遍历漏洞

在 SonicWall SMA100 中，handleWAFRedirect CGI 中的未经身份验证的目录遍历漏洞允许用户测试服务器上是否存在文件。

2022/4/18

CVE-2018-8440

Microsoft

Microsoft  Windows 权限提升漏洞

当 Windows 不正确地处理对高级本地过程调用 (ALPC) 的调用时，存在特权提升漏洞，即Windows ALPC 特权提升漏洞。

2022/4/18

CVE-2018-8406

Microsoft

Microsoft  DirectX 图形内核权限提升漏洞

当 DirectX 图形内核 (DXGKRNL) 驱动程序不正确地处理内存中的对象时，存在特权提升漏洞。影响了Windows Server 2016、Windows 10 、Windows10  Servers。

2022/4/18

CVE-2018-8405

Microsoft

Microsoft  DirectX 图形内核权限提升漏洞

当 DirectX 图形内核 (DXGKRNL) 驱动程序不正确地处理内存中的对象时，存在特权提升漏洞。影响了Windows Server 2012 R2、Windows RT 8.1、Windows Server 2016、Windows 8.1、 Windows 10、Windows 10 Servers。

2022/4/18

CVE-2017-0213

Microsoft

Microsoft  Windows 权限提升漏洞

Microsoft  Windows COM Aggregate Marshaler 允许在运行特制应用程序时提升权限。

2022/4/18

CVE-2017-0059

Microsoft

Microsoft  Internet Explorer 信息泄露漏洞

Microsoft  Internet Explorer 9 至11允许通过精心设计的网站从进程内存中获取敏感信息。

2022/4/18

版本

日期

修改内容

V1.0

2022-03-30

首次发布