國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞563個，互聯網上出現“Subrion CMS跨站請求偽造漏洞（CNVD-2020-32357）、Subrion CMS跨站腳本漏洞（CNVD-2020-32356）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

防范電信網絡詐騙，重慶農商行與您一起見招拆招！

在這數據爆炸的時代，普通人看不見的暗處，由于利益驅使，滋生了一些滿懷惡意的“黑心人”。>>詳細

【警惕】個人征信也會被“拖累”

隨著社會信用體系的不斷完善，個人征信應用場景越來越多，良好的征信是我們行走社會的第二張“臉”，未來，無信者將寸步難行。>>詳細

藍e解密騙子慣用伎倆

網絡貸款要留心，各種手段騙你錢，訂單退款是套路，個人信息莫外露，若要遇上公檢法，淡定從容先核實。>>詳細

警惕！這些威脅你的“錢袋子”安全！

金融知識萬里行，普及金融知識，守護“錢袋子”，朱望仔特意扒了幾個電信詐騙典型案例，場景再現，幫助小伙伴們守護“錢袋子”。>>詳細

擺攤前，先來看看防范電信詐騙指南吧

電信詐騙套路深，學好知識好防身，目前主要的電信詐騙有以下幾種，碰到這幾種情況千萬要小心！>>詳細

【消?！糠婪斗欠Y，守護幸福家庭！

天上不會掉餡餅，一夜暴富是陷阱，夢想保本高收益，竹籃打水一場空，投資理財，請選擇正規金融機構。>>詳細

【金融普及】增強信息安全意識，防范電信網絡詐騙

單獨設立小額獨立銀行賬戶，用于日常網上購物、消費。>>詳細

安全威脅播報

上周漏洞基本情況

上周（6月8日-14日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞563個，其中高危漏洞211個、中危漏洞294個、低危漏洞58個。漏洞平均分值為6.08。上周收錄的漏洞中，涉及0day漏洞239個（占42%），其中互聯網上出現“Subrion CMS跨站請求偽造漏洞（CNVD-2020-32357）、Subrion CMS跨站腳本漏洞（CNVD-2020-32356）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft SharePoint是一套企業業務協作平臺。Microsoft Teams是一個流行的協同交互應用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft Windows和Windows Server提權漏洞（CNVD-2020-32093）、Microsoft SharePoint跨站腳本漏洞（CNVD-2020-32097）、Microsoft Windows JetDatabase Engine遠程代碼執行漏洞（CNVD-2020-32587）、Microsoft Windows Push Notification Service權限提升漏洞、Microsoft Windows win32k權限提升漏洞（CNVD-2020-32590、CNVD-2020-32589、CNVD-2020-32588）、Microsoft Teams用戶劫持漏洞。其中，除“Microsoft SharePoint跨站腳本漏洞（CNVD-2020-32097）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

AdobeBridge是一款文件查看器。Adobe Flash Player是一種廣泛使用的、專有的多媒體程序播放器。Adobe Acrobat是一套PDF文件編輯和轉換工具。Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致拒絕服務。

CNVD收錄的相關漏洞包括：Adobe Bridge代碼執行漏洞（CNVD-2020-32370、CNVD-2020-32371）、Adobe Flash Player內存錯誤引用漏洞（CNVD-2020-32617）、Adobe Acrobat和Reader內存錯誤引用漏洞（CNVD-2020-32834、CNVD-2020-32836）、Adobe Acrobat和Reader緩沖區溢出漏洞（CNVD-2020-32837、CNVD-2020-32838）、Adobe Acrobat和Reader棧耗盡漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoIOS XE是一套為其網絡設備開發的操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco IOS XE命令注入漏洞（CNVD-2020-31959、CNVD-2020-31962、CNVD-2020-31969、CNVD-2020-31974）、Cisco IOS XE權限許可和訪問控制問題漏洞（CNVD-2020-31964、CNVD-2020-31976）、Cisco IOS XE Software輸入驗證錯誤漏洞、Cisco IOS XE數據偽造問題漏洞（CNVD-2020-31991）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM MobileFirst Foundation是一套用于構建和部署下一代數字應用程序的平臺。IBM WebSphere Application Server（WAS）是一款應用服務器產品。IBM Security Guardium是一套提供數據保護功能的平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞未授權訪問會話，獲取敏感信息，執行任意命令等。

CNVD收錄的相關漏洞包括：IBM MobileFirst Foundation授權問題漏洞、IBM WebSphere Application Server代碼問題漏洞（CNVD-2020-32642）、IBM WebSphere ApplicationServer Network Deployment代碼問題漏洞、IBM Security Guardium信息泄露漏洞（CNVD-2020-32645、CNVD-2020-32650）、IBM Security Guardium操作系統命令注入漏洞（CNVD-2020-32648）、IBM Security Guardium跨站腳本漏洞（CNVD-2020-32644、CNVD-2020-32649）。其中，“IBM MobileFirst Foundation授權問題漏洞、IBM WebSphere Application Server代碼問題漏洞（CNVD-2020-32642）、IBM WebSphere ApplicationServer Network Deployment代碼問題漏洞、IBM Security Guardium操作系統命令注入漏洞（CNVD-2020-32648）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat Undertow輸入驗證錯誤漏洞

Red Hat Undertow是美國紅帽（Red Hat）公司的一款基于Java的嵌入式Web服務器。上周，Red Hat Undertow被披露存在輸入驗證錯誤漏洞。攻擊者可利用該漏洞造成Web緩存中毒，執行跨站腳本攻擊或獲取敏感信息。廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，獲取敏感信息，執行任意代碼等。此外Adobe、Cisco、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，獲取敏感信息，執行任意代碼，導致拒絕服務等。另外，Red Hat Undertow被披露存在輸入驗證錯誤漏洞。攻擊者可利用該漏洞造成Web緩存中毒，執行跨站腳本攻擊或獲取敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、招商銀行、徽商銀行、重慶農村商業銀行、深圳農村商業銀行、廣東農信、新網銀行、中國建設銀行安徽省分行報道

責任編輯：韓希宇