國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞719個，互聯網上出現“Froala WYSIWYG HTML Editor跨站腳本漏洞、GoodLayers LMS for Wordpress SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

央行上海分行馮攀：規管“有毒算法”，算法透明化也存隱憂

在數字經濟時代，大數據及其算法成為了平臺型公司與科技型公司的核心資產，算法本身也不是憑空取得的，是根據對行業的數據進行不斷訓練、優化而取得的。>>詳細

金融科技大數據風控挑戰：數據共享遭遇隱私保護

隨著人工智能技術的持續推進，不少海外上市的金融科技平臺正在研發隱私保護機器學習平臺，支持擁有數據的各方在不傳遞原始數據的情況下，開展數據交換、特征處理、模型訓練、評估等全流程合作建模。>>詳細

一圖看懂反洗錢業務之名單監控及管理

對于擁有較多跨境業務或境外分支機構較多的金融機構而言，制裁合規風險是自身經營面臨的首要合規風險，而名單監控則是制裁合規管理的基礎工作。>>詳細

【安全課堂】筑牢手機防線，保障資金安全！

收到帶有“官方”字樣的短信提示“失效、到期、異?！被蚋嬷歇劦葍热輹r，務必保持冷靜思考，切勿慌張。>>詳細

中消協：掃碼點餐或導致特殊人群成為支付安全問題受害者

近期，中國消費者協會收到消費者反映，到餐廳用餐時，有些餐廳不提供人工點餐，甚至不提供現場菜單，消費者只能關注公眾號或小程序后進行“掃碼點餐”。>>詳細

網游App新困境：必要個人信息收集與防范未成年人沉迷如何平衡？

除了正視問題本身之外，監管機構應在給出原則性規定之后，做出具體實施細則的指導。立法機構應明確游戲領域哪些個人信息屬于被保護的范疇，進一步細化網絡游戲服務提供者的責任并監督落實，將有助于早日解決這一矛盾。>>詳細

手機銀行|開通云證通，大額轉賬安全又輕松

手機銀行客戶使用手機可實現證書的存儲及認證，不需要攜帶額外的物理設備或介質，即可完成大額轉賬交易。>>詳細

【安全】此類冒用銀行名義的虛假營銷，別信

近期，一些詐騙分子冒用銀行名義，發布虛假營銷活動宣傳， 打著“人人有福利，超多禮品免費領回家”的幌子，誘導公眾通過附帶的虛假二維碼下載所謂的“手機銀行”，謊稱參與連續簽到活動可領取精彩好禮。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年3月22日-28日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞719個，其中高危漏洞166個、中危漏洞249個、低危漏洞304個。漏洞平均分值為4.77。上周收錄的漏洞中，涉及0day漏洞507個（占71%），其中互聯網上出現“Froala WYSIWYG HTML Editor跨站腳本漏洞、GoodLayers LMS for Wordpress SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Google Android MediaFramework遠程代碼執行漏洞（CNVD-2021-19751）、Google Android拒絕服務漏洞（CNVD-2021-19752）、Google Android Media Framework權限提升漏洞（CNVD-2021-19750）、Google Android Framework權限提升漏洞（CNVD-2021-19754、CNVD-2021-19753、CNVD-2021-19757、CNVD-2021-19756、CNVD-2021-19755）。其中，除 “Google Android拒絕服務漏洞（CNVD-2021-19752）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Schneider Electric產品安全漏洞

Schneider Electric Easergy T300是法國施耐德電氣（Schneider Electric）公司的一款用于電力行業的遠程終端單元。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Schneider Electric EasergyT300訪問控制不當漏洞（CNVD-2021-19765）、Schneider Electric Easergy T300輸入驗證錯誤漏洞、Schneider Electric Easergy T300跨站請求偽造漏洞、Schneider Electric Easergy T300資源管理錯誤漏洞、Schneider Electric Easergy T300加密問題漏洞、Schneider Electric Easergy T300信息泄露漏洞（CNVD-2021-21474、CNVD-2021-21481、CNVD-2021-21478）。其中“Schneider Electric EasergyT300訪問控制不當漏洞（CNVD-2021-19765）”的綜合評級為“高?！蹦壳?，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco IOS XE是美國Cisco公司為其網絡設備開發的一套基于Linux內核的模塊化操作系統。Cisco Catalyst 9000是一個交換機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取管理員權限，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco IOS XE OS命令注入漏洞、Cisco IOS XE拒絕服務漏洞（CNVD-2021-22166、CNVD-2021-22190）、Cisco IOS XE緩沖區溢出漏洞、Cisco IOS XE任意代碼執行漏洞（CNVD-2021-22189）、Cisco IOS XE權限提升漏洞（CNVD-2021-22457）、Cisco IOS XE IOx命令注入漏洞、Cisco Catalyst 9000拒絕服務漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Palo Alto Networks產品安全漏洞

Palo Alto Networks GlobalProtect是美國Palo Alto Networks公司的一套網絡防護軟件。該軟件可提供防火墻監控及威脅預防等功能。Palo Alto Networks PAN-OS是一套為其防火墻設備開發的操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問受保護的資源、執行任意OS命令、導致緩沖區溢出等。

CNVD收錄的相關漏洞包括：Palo Alto Networks PAN-OS數據偽造問題漏洞、Palo Alto Networks PAN-OS OS命令注入漏洞（CNVD-2021-22171、CNVD-2021-22172）、Palo Alto Networks PAN-OS緩沖區溢出漏洞（CNVD-2021-22178、CNVD-2021-22169）、Palo Alto Networks PAN-OS操作系統命令注入漏洞（CNVD-2021-22180、CNVD-2021-22179）、Palo Alto Networks GlobalProtect競爭條件問題漏洞。其中，除 “Palo Alto Networks GlobalProtect競爭條件問題漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Bitweaver跨站腳本漏洞（CNVD-2021-22579）

Bitweaver是一款免費、開源Web應用程序框架和內容管理系統。上周，Bitweaver被披露存在跨站腳本漏洞。遠程攻擊者可通過/users/admin/index.php URI利用該漏洞注入JavaScript。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼，導致拒絕服務等。此外，Schneider Electric、Cisco、Palo Alto Networks等多款產品被披露存在多個漏洞，攻擊者可利用漏洞訪問受保護的資源，訪問敏感信息，獲取管理員權限，執行任意代碼，導致拒絕服務和緩沖區溢出等。另外，Bitweaver被披露存在跨站腳本漏洞。遠程攻擊者可通過/users/admin/index.php URI利用該漏洞注入JavaScript。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、第一財經、工行電子銀行、I生活T精彩、北京銀行、廣西北部灣銀行、中消協報道

責任編輯：韓希宇