國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞312個，互聯網上出現“WordPress Ultimate Member跨站點請求偽造漏洞、OpenEMR遠程代碼執行漏洞（CNVD-2018-14867）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

如何識別“電信詐騙”套路？唐僧師徒來教你！

防范電信詐騙應知應會，時刻謹記“四個不”：不聽不信、不輸密碼、不回短信、不轉賬。>>詳細

普及金融知識萬里行 | 支付安全全攻略

如發現銀行卡（賬戶）被盜用，應第一時間致電銀行客戶服務熱線，緊急掛失，防止資金損失擴大。>>詳細

防范詐騙，從保護好個人信息開始！

除了垃圾短信、騷擾電話的煩惱，還可能面臨個人身份被冒用這類較為嚴重的問題。>>詳細

為個人金融信息上好“安全鎖”

明明沒有留過手機號，卻總有人打電話來賣車賣房辦貸款？垃圾短信源源不斷？信用卡明明還在身邊，卻被盜刷，賬戶錢款不翼而飛？>>詳細

備案│金融APP檢測常見問題匯總，請收好！

不少APP存在著“弱加固”的問題，即對APP核心邏輯加固力度較弱，可輕易通過脫殼技術、逆向工程進行還原，還原后可以輕易突破防御手段進行數據采集和信息暴露。>>詳細

一圖讀懂《民法典》中的網絡安全

《民法典》如何回應互聯網時代的特殊要求？我們看到，人格權獨立成編，強化對隱私權和個人信息的保護……>>詳細

姣姣說消保丨五步法，守好自己的“錢袋子”！

近年來，老百姓“錢袋子”被戳破的事情屢屢出現，這些事件主要集中在非法金融廣告、非法集資、電信詐騙、銀行卡盜刷以及校園不良網絡借貸等方面。>>詳細

防騙 | 一圖教你認識電信網絡詐騙

南小粵要跟大家一條一條地拆穿詐騙常見手段，認識了這些手段，就再也不怕被騙啦！>>詳細

遇到詐騙莫慌張，“防騙”秘籍請收好

詐騙分子用極具煽動性的話術與極具誘惑的額度，騙取持卡人個人及卡片信息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（5月25日-31日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞312個，其中高危漏洞92個、中危漏洞182個、低危漏洞38個。漏洞平均分值為5.84。上周收錄的漏洞中，涉及0day漏洞121個（占39%），其中互聯網上出現“WordPress Ultimate Member跨站點請求偽造漏洞、OpenEMR遠程代碼執行漏洞（CNVD-2018-14867）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Advantech產品安全漏洞

Advantech WebAccess是一個基于瀏覽器的SCADA軟件包，用于監控、數據采集和可視化。它用于在需要遠程操作的情況下自動化復雜的工業流程。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞覆蓋應用程序控制范圍之外的文件，獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：Advantech WebAccess Node緩沖區溢出漏洞（CNVD-2020-29739、CNVD-2020-29740）、Advantech WebAccess Node越界讀取漏洞、Advantech WebAccess Node路徑遍歷漏洞（CNVD-2020-29743、CNVD-2020-29744、CNVD-2020-29742）、Advantech WebAccess NodeSQL注入漏洞、Advantech WebAccess Node輸入驗證錯誤漏洞。其中，“Advantech WebAccess Node緩沖區溢出漏洞（CNVD-2020-29739、CNVD-2020-29740）、Advantech WebAccess Node路徑遍歷漏洞（CNVD-2020-29743）、Advantech WebAccess Node輸入驗證錯誤漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

OracleFusion Middleware（Oracle融合中間件）是美國甲骨文（Oracle）公司的一套面向企業和云環境的業務創新平臺。Oracle E-Business Suite是在原來Application（ERP）基礎上的擴展，包括ERP（企業資源計劃管理）、HR（人力資源管理）、CRM（客戶關系管理）等等多種管理軟件的集合，是無縫集成的一個管理套件。Oracle Advanced OutboundTelephony是Oracle Interaction Center的模塊，用于解決出站電話問題。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞未授權讀取、更新、插入或刪除數據。

CNVD收錄的相關漏洞包括：Oracle Weblogic Server遠程代碼執行漏洞（CNVD-2020-29746、CNVD-2020-29745）、Oracle Advanced Outbound Telephony未授權訪問漏洞（CNVD-2020-29762、CNVD-2020-29767、CNVD-2020-29765、CNVD-2020-29764、CNVD-2020-29763、CNVD-2020-29766）。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAPBusiness Objects Business Intelligence Platform是德國思愛普（SAP）公司的一套商業智能軟件和企業績效解決方案套件。SAP Adaptive ServerEnterprise是一款關系型數據庫服務器。SAP Enterprise ThreatDetection是一種可以檢測SAP系統是否受到惡意攻擊的產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：SAP Business ObjectsBusiness Intelligence Platform輸入驗證錯誤漏洞、SAP Adaptive ServerEnterprise SQL注入漏洞（CNVD-2020-29747）、SAP Business Objects Business Intelligence Platform信息泄露漏洞（CNVD-2020-29751）、SAP Adaptive ServerEnterprise SQL注入漏洞（CNVD-2020-29750）、SAP Adaptive Server Enterprise輸入驗證錯誤漏洞、SAP Adaptive Server Enterprise信息泄露漏洞（CNVD-2020-29753、CNVD-2020-29752）、SAP Enterprise Threat Detection跨站腳本漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Windows Jet Database Engine是其中的一個數據庫引擎。Windows Update Delivery Optimization（WUDO）是其中的一個Windows更新交付優化工具，主要用于減少因系統更新產生的網絡流量。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Microsoft Windows UpdateDelivery Optimization提權漏洞、Microsoft Windows GraphicsDevice Interface信息泄露漏洞（CNVD-2020-30654）、Microsoft Windows和Windows Server提權漏洞（CNVD-2020-30658）、Microsoft Windows DNS拒絕服務漏洞、Microsoft Windows Jet Database Engine遠程代碼執行漏洞（CNVD-2020-30660、CNVD-2020-30659、CNVD-2020-30662、CNVD-2020-30663）。其中，除“Microsoft Windows Graphics Device Interface信息泄露漏洞（CNVD-2020-30654）、Microsoft Windows DNS拒絕服務漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

rConfig跨站請求偽造漏洞

rConfig是一款開源的網絡配置管理實用程序。上周，rConfig被披露存在跨站請求偽造漏洞。遠程攻擊者可借助特制HTTP請求利用該漏洞執行惡意操作。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Advantech產品被披露存在多個漏洞，攻擊者可利用漏洞覆蓋應用程序控制范圍之外的文件，獲取敏感信息，執行任意代碼等。此外Oracle、SAP、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，導致拒絕服務等。另外，rConfig被披露存在跨站請求偽造漏洞。遠程攻擊者可借助特制HTTP請求利用該漏洞執行惡意操作。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、交通銀行、內蒙古銀行、長沙銀行、貴州銀行、廣東南粵銀行、郵儲銀行深圳分行、騰訊安全戰略研究報道

責任編輯：韓希宇