信息安全漏洞预警（2022年第9期）

1. Microsoft Exchange Server 安全漏洞（CNNVD-202210-001）

Microsoft Exchange Server 是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。Microsoft Exchange Server 存在安全漏洞。攻击者利用该漏洞可以提升权限。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-41040

2. Apache Commons JXPath安全漏洞（CNNVD-202210-203）

Apache Commons JXPath是美国阿帕奇（Apache）基金会基于 Java实现的 XPath。Apache Commons JXPath 存在安全漏洞。攻击者利用该漏洞通过XPath 表达式加载任意 Java 类，从而执行代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://bugs.chromium.org/p/oss-fuzz/issues/detail?id=47133

3. Apache Shiro 授权问题漏洞（CNNVD-202210-706）

Apache Shiro 是美国阿帕奇（Apache）基金会的一套用于执行认证、授权、加密和会话管理的 Java 安全框架。Apache Shiro 1.10.0 之前版本存在授权问题漏洞，该漏洞源于通过 RequestDispatcher 函数可以绕过身份认证。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://lists.apache.org/thread/loc2ktxng32xpy7lfwxto13k4lvnhjwg

4. Oracle E-Business Suite 安全漏洞（CNNVD-202210-1279）

Oracle E-Business Suite（电子商务套件）是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。Oracle E-Business Suite 的 Oracle Web Applications Desktop。Integrator 12.2.3 版本至 12.2.11 版本存在安全漏洞。攻击者利用该漏洞通过 HTTP 进行网络访问，从而接管用户账户。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://www.oracle.com/security-alerts/cpuoct2022.html