國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞457個，互聯網上出現“WordPress插件Easy Contact Form 'Name'跨站腳本漏洞、Nxlog代碼問題漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

政策研究 | 大型互聯網平臺消費者金融信息保護問題研究

就現階段而言，大型互聯網平臺消費者信息保護總體狀況不容樂觀，尤其是某些頭部互聯網平臺在格式條款、信息收集和使用、營銷宣傳方面存在一些問題和爭議，需要進一步認真審視和對待。>>詳細

工信部組織召開APP個人信息保護監管座談會

針對APP過度索取麥克風、相冊、通訊錄等權限問題，工業和信息化部專題開展技術檢測，對發現存在問題的179款APP提出了責令限期整改，對其中未按期整改的26款APP予以公開通報。>>詳細

移動金融客戶端應用軟件實名備案名單公布（第六批）

根據《中國人民銀行關于發布金融行業標準 加強移動金融客戶端應用軟件安全管理的通知》（銀發[2019]237號），中國互聯網金融協會承擔移動金融應用客戶端軟件實名備案工作。>>詳細

【安全】叮咚！請查收您的新年安全錦囊

打開這個春節防騙錦囊get安全妙計，慧眼識騙不中招，幸福平安過好年! >>詳細

【提示】2021年春節期間支付行業反詐反賭在行動

防疫期間許多人就地過春節，使用遠程支付更多，騙子們也更加蠢蠢欲動。>>詳細

識別有法寶 | 警惕“預約新冠疫苗”詐騙，這些短信不要信！

近日，國家反詐中心提醒：有不法分子借“預約新冠疫苗”發布虛假鏈接，非法收集公民個人信息。>>詳細

@所有人，您有一封春節防詐騙溫馨提示請查收

詐騙分子通過微信、QQ等網絡社交平臺散發虛假貸款廣告、貸款APP（系假冒）鏈接，以“無擔?！?、“無抵押”騙取受害人關注，再以手續費、押金、刷銀行流水賬等各種理由誘使受害人向其打款，造成經濟損失。>>詳細

打擊電詐“斷卡”行動進行時｜控量提質 主動出擊 2021“斷卡”行動再吹號角

2021年以來，人民銀行福州中心支行堅持存量與增量齊抓、人防與技防并舉、打擊與懲戒并重，以預防、止損、嚴管三大宗旨為指導，深挖源頭、標本兼治，繼續肅清“兩卡”滋生土壤。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年2月1日-7日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞457個，其中高危漏洞163個、中危漏洞246個、低危漏洞48個。漏洞平均分值為5.85。上周收錄的漏洞中，涉及0day漏洞238個（占52%），其中互聯網上出現“WordPress插件Easy Contact Form 'Name'跨站腳本漏洞、Nxlog代碼問題漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Oracle產品安全漏洞

Oracle E-Business Suite（電子商務套件）是美國甲骨文（Oracle）公司的一套全面集成式的全球業務管理軟件。上周，上述產品被披露存在授權問題漏洞，攻擊者可利用該漏洞影響機密性和完整性。

CNVD收錄的相關漏洞包括：Oracle E-Business Suite授權問題漏洞（CNVD-2021-08445、CNVD-2021-08444、CNVD-2021-08448、CNVD-2021-08447、CNVD-2021-08452、CNVD-2021-08451、CNVD-2021-08450、CNVD-2021-08449）。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞提升權限。

CNVD收錄的相關漏洞包括：Google Android Framework權限提升漏洞（CNVD-2021-09483、CNVD-2021-09482、CNVD-2021-09481、CNVD-2021-09486、CNVD-2021-09485、CNVD-2021-09484、CNVD-2021-09488、CNVD-2021-09487）。其中，“Google Android Framework權限提升漏洞（CNVD-2021-09482、CNVD-2021-09486、CNVD-2021-09485、CNVD-2021-09487）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoIOS XR軟件是用于服務提供商網絡的模塊化和完全分布式的網絡操作系統。Cisco Managed ServicesAccelerator (MSX)是一個多租戶、多服務、云原生的服務創建和交付平臺，可幫助服務提供商快速、輕松且經濟高效地為企業客戶開發和交付托管服務。Cisco SD-WAN vEdge是美國思科（Cisco）公司的是一款路由器。Cisco Data Center NetworkManager (DCNM)是Cisco的一套數據中心網絡管理器，可對網絡進行多協議管理，并對交換機的運行狀況和性能提供故障排除功能。Cisco StarOS是一套路由器操作系統，可控制整個系統邏輯，可控制進程和CLI。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，刪除文件系統上的任意文件，導致拒絕服務。

CNVD收錄的相關漏洞包括：Cisco IOS XR拒絕服務漏洞（CNVD-2021-09295、CNVD-2021-09297、CNVD-2021-09296）、Cisco Managed ServicesAccelerator拒絕服務漏洞、Cisco IOS XR信息泄露漏洞、Cisco SD-WAN Software信息泄露漏洞、Cisco Data Center Network Manager路徑遍歷漏洞（CNVD-2021-09309）、Cisco StarOS拒絕服務漏洞（CNVD-2021-09312）。其中，“Cisco IOS XR拒絕服務漏洞（CNVD-2021-09297、CNVD-2021-09296）、Cisco Data Center Network Manager路徑遍歷漏洞（CNVD-2021-09309）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Windows Hyper-V是美國微軟（Microsoft）公司的一款可提供硬件虛擬化的工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以提升的權限執行代碼等。

CNVD收錄的相關漏洞包括：Microsoft Windows Codecs遠程代碼執行漏洞、Microsoft Windows內核映像權限提升漏洞、Microsoft Windows內核模式驅動程序權限提升漏洞、Microsoft Windows Hyper-V權限提升漏洞（CNVD-2021-08829）、Microsoft Windows Hyper-V遠程代碼執行漏洞（CNVD-2021-08834）、Microsoft Windows Installer權限提升漏洞（CNVD-2021-08833）、Microsoft Windows WER權限提升漏洞、Microsoft Windows和Windows Server權限提升漏洞（CNVD-2021-08838）。其中，除“Microsoft Windows Codecs遠程代碼執行漏洞、Microsoft Windows WER權限提升漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

EasyCMS跨站請求偽造漏洞（CNVD-2021-09498）

EasyCMS是輕量級可擴展的開源內容管理程序，遵循Apache2開源協議發布。上周，EasyCMS被披露存在跨站請求偽造漏洞。攻擊者可通過index.php?s=/admin/rbacuser/insert/navTabId/rbacuser/callbackType/closeCurrent利用該漏洞添加管理員帳戶。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Oracle產品被披露存在授權問題漏洞，攻擊者可利用該漏洞影響機密性和完整性。此外，Google、Cisco、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，刪除文件系統上的任意文件，以提升的權限執行代碼，導致拒絕服務等。另外，EasyCMS被披露存在跨站請求偽造漏洞。攻擊者可通過index.php?s=/admin/rbacuser/insert/navTabId/rbacuser/callbackType/closeCurrent利用該漏洞添加管理員帳戶。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、中國互聯網金融協會、中國支付清算協會、工信微報、中國人民銀行福州中支、中國工商銀行電子銀行、交通銀行微銀行、邯鄲銀行報道

責任編輯：韓希宇