根据国家信息安全漏洞库（CNNVD）统计，本周（2022.12.12~2022.12.18）CNNVD接报漏洞536个，其中信息技术产品漏洞（通用型漏洞）82个，网络信息系统漏洞（事件型漏洞）454个；CNNVD接报漏洞预警61份，其中华云安报送预警5份！

本周重点关注漏洞包括：CVE-2022-31702 VMware vRealize Network Insight 命令注入漏洞、CVE-2022-46996 vSphere_selfuse 安全漏洞、CVE-2022-34271 Apache Atlas 路径遍历漏洞、CVE-2022-31707 VMware vRealize Operations 安全漏洞。漏洞影响范围较广，华云安建议相关用户做好资产自查与预防工作。

01 CVE-2022-31702 VMware vRealize Network Insight 命令注入漏洞

威胁等级：超危

漏洞描述：

2022年12月13日，华云安思境安全团队发现 VMware 官方发布了安全公告，披露了 VMware vRealize Network Insight 存在安全漏洞。VMware vRealize Network Insight是一款帮助客户跨多云环境构建优化、高可用性和安全的网络基础设施。该漏洞被攻击者利用后，可导致被注入任意命令。

情报来源：

https://www.vmware.com/security/advisories/VMSA-2022-0031.html 

02 CVE-2022-46996 vSphere_selfuse 安全漏洞

威胁等级：超危

漏洞描述：

2022年12月14日，华云安思境安全团队发现Henry Sun发布了安全通告，披露了 vSphere_selfuse存在安全漏洞。vSphere_selfuse是Henry Sun个人开发者的一个 vSphere 自动化尝试项目，它是在轻量级虚拟机内部署并管理容器的环境。该漏洞被攻击者利用后，可以访问敏感用户信息和数字货币密钥，以及升级权限。

情报来源：

https://cxsecurity.com/cveshow/CVE-2022-46996/ 

03 CVE-2022-34271 Apache Atlas 路径遍历漏洞

威胁等级：高危

漏洞描述：

2022年12月14日，华云安思境安全团队发现 Apache官方披露了Apache Atlas 0.8.4 到 2.2.0 版本存在路径遍历漏洞。Apache Atlas 是托管于 Apache 旗下的一款元数据管理和治理的产品，使数据团队能够从多个数据源摄取、发现、编目、分类和管理数据资产。经过身份验证的攻击者利用Apache Atlas导入模块中的一个漏洞，写入web服务器文件系统，造成路径遍历。

情报来源：

https://lists.apache.org/thread/0rqvcxo6brmos9w3lzfsdn2lsmlblpw3 

04 CVE-2022-31707 VMware vRealize Operations 安全漏洞

威胁等级：高危

漏洞描述：

2022年12月15日，华云安思境安全团队发现VMware官网发布了安全公告。披露了VMware vRealize Operations 存在权限提升漏洞。VMware vRealize Operations是vmware虚拟化平台的一套适用于私有云、混合云和多云环境的自行驱动 IT 作业管理平台的运维管理解决方案。攻击者利用该漏洞可提升操控权限。

情报来源：

https://www.vmware.com/security/advisories/VMSA-2022-0034.html 

华云安

华云安是一家深耕于网络空间安全领域的高新技术企业，专注于漏洞研究、攻防对抗、产品研发、安全服务；致力于对主动防御、情报协同、溯源反制能力进行融合创新，以攻击者视角构建攻击面管理安全能力平台，提供新一代网络安全对抗防御解决方案。公司服务于国家网络安全监管部门及金融、能源、教育、医疗等关键信息基础设施行业。

公司持续构建的原子化安全能力平台，秉承数据驱动、AI引领的理念，通过基于知识图谱的安全风险库和场景化人工智能引擎两大核心技术，结合不同的业务需求灵活组合安全能力，实现一个平台覆盖所有安全能力。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法