國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞605個，互聯網上出現“Liftoff GateOne任意命令執行漏洞、White Shark System（WSS）跨站請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

中國銀聯舉辦“防控支付涉賭涉詐，筑牢賬戶風險防線”專題研討會

在人民銀行的指導下，中國銀聯秉持“支付為民”理念，配合公安機關，聯合產業各方，全力防控治理跨境賭博、電信網絡詐騙風險，守護好人民群眾的“錢袋子”，以實際行動為群眾辦實事。>>詳細

新型ETC詐騙來襲 老司機小心被“套路”

近日，大量市民表示收到類似的貌似ETC認證的短信詐騙，對于此類新型詐騙，老司機們明顯警惕不夠，不少人點擊了短信鏈接并填寫了銀行卡信息，瞬間損失了數百乃至上萬元。>>詳細

風險警示｜面對電信詐騙的劇本表演我們該如何喊CUT？

電信欺詐詐騙分子往往利用人性弱點，針對不同的人群，實施不同套路的欺詐。遇到電信欺詐，做到“沉著冷靜，信息護好；理智判斷，拒絕操控；自控自律，抵御誘惑”，做個聰明的“反詐騙er”，大膽向電信欺詐喊CUT！>>詳細

兼顧風險控制與投保體驗 保險數字轉型可以這樣布局

面對電子投保在各銷售渠道比重日趨增長，電子簽名需求激增，恒安標準與中國金融認證中心（CFCA）達成合作，引入CFCA網絡身份認證平臺、無紙化可信簽名系統服務，以進一步推行電子出單，提高銷售效率。>>詳細

【安全】個人信息安全規范

在征得授權同意的例外中，《規范》明確，隱私政策的主要功能為公開個人信息控制者收集、使用個人信息規范和規則，不應將其視為根據個人信息主體要求簽訂和履行的合同。>>詳細

CFCA與上海德衡數據簽署戰略合作協議：雙方聯合共建“金融級數據中心示范基地”

6月24日下午，中國金融認證中心（CFCA）與上海德衡數據在滬正式簽署戰略合作協議，并舉行了“金融級數據中心示范基地”揭牌儀式。雙方將積極深化合作，發揮各自優勢，進一步加強在金融標準化、金融基礎設施安全運營等領域的全面合作，共同開拓金融數據中心市場，推動金融數據中心標準建設，推進“金融級數據中心示范基地”的引領作用。>>詳細

強化風險意識，防范電信詐騙

不點擊未知鏈接，不輕信陌生來電，不透露個人信息，多核實再轉賬匯款。>>詳細

安全丨當心！再這樣做，你的個人信息將全部泄漏！

在這個網絡信息爆炸的時代，一不小心就有可能泄露你的個人信息，導致陌生來電、垃圾信息不斷，甚至電信詐騙也會找上門，你知道自己的電話號碼、身份信息是如何被泄露的嗎？>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年6月21日-27日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞605個，其中高危漏洞168個、中危漏洞363個、低危漏洞74個。漏洞平均分值為5.59。上周收錄的漏洞中，涉及0day漏洞327個（占54%），其中互聯網上出現“Liftoff GateOne任意命令執行漏洞、White Shark System（WSS）跨站請求偽造漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

WordPress產品安全漏洞

WordPress是Wordpress基金會的一套使用PHP語言開發的博客平臺。WP-CLI是WordPress的命令行界面。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞攔截通信，獲取管理員cookie，遠程執行代碼。

CNVD收錄的相關漏洞包括：WordPress插件跨站腳本漏洞（CNVD-2021-44297）、WordPress跨站腳本漏洞（CNVD-2021-44302、CNVD-2021-44303、CNVD-2021-44304、CNVD-2021-44307、CNVD-2021-44309）、WordPress代碼問題漏洞（CNVD-2021-44308）、WordPress WP-CLI信任管理問題漏洞。其中，“WordPress代碼問題漏洞（CNVD-2021-44308）、WordPress WP-CLI信任管理問題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android內存管理驅動程序權限提升漏洞（CNVD-2021-44313、CNVD-2021-44312、CNVD-2021-44311、CNVD-2021-44316、CNVD-2021-44315、CNVD-2021-44314）、Google Android System權限繞過漏洞（CNVD-2021-44320）、Google Android System遠程代碼執行漏洞（CNVD-2021-44329）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Firepower Threat Defense和Cisco Adaptive Security Appliance都是美國思科（Cisco）公司的產品。Cisco Firepower Threat Defense是一套提供下一代防火墻服務的統一軟件。Cisco Adaptive Security Appliance是一套防火墻和網絡安全平臺。該平臺提供了對數據和網絡資源的高度安全的訪問等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞打破信任鏈并將代碼注入設備的啟動過程，在界面上下文中執行任意腳本代碼，導致拒絕服務。

CNVD收錄的相關漏洞包括：Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense跨站腳本漏洞（CNVD-2021-44675）、Cisco Adaptive Security Appliance和Firepower Threat Defense安全啟動繞過漏洞、Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense拒絕服務漏洞（CNVD-2021-44680、CNVD-2021-44678、CNVD-2021-44684、CNVD-2021-44682）、Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense內存泄露漏洞、Cisco Adaptive Security Appliance跨站腳本漏洞（CNVD-2021-44674）。其中，“Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense拒絕服務漏洞（CNVD-2021-44678、CNVD-2021-44684、CNVD-2021-44682）、Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense內存泄露漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR產品安全漏洞

NETGEAR RBK752等都是美國網件（NETGEAR）公司的一套家庭WiFi系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意Shell命令。

CNVD收錄的相關漏洞包括：多款NETGEAR產品操作系統命令注入漏洞（CNVD-2021-44783、CNVD-2021-44782、CNVD-2021-44786、CNVD-2021-44785、CNVD-2021-44784、CNVD-2021-44787）、多款NETGEAR產品命令注入漏洞（CNVD-2021-44781、CNVD-2021-44780）。目前，廠商已經發布了上述漏洞的修補程序。

TrendNet TW100-S4W1CA跨站腳本漏洞

TrendNet TW100-S4W1CA是一款四端口寬帶路由器。上周，TrendNet TW100-S4W1CA 2.3.32版被披露存在跨站腳本漏洞。攻擊者可通過echo命令利用該漏洞將任意JavaScript注入路由器的Web界面。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，WordPress產品被披露存在多個漏洞，攻擊者可利用漏洞攔截通信，獲取管理員cookie，遠程執行代碼。此外，Google、Cisco、NETGEAR等多款產品被披露存在多個漏洞，攻擊者可利用漏洞打破信任鏈并將代碼注入設備的啟動過程，提升權限，執行任意代碼，導致拒絕服務等。另外，TrendNet TW100-S4W1CA 2.3.32版被披露存在跨站腳本漏洞。攻擊者可通過echo命令利用該漏洞將任意JavaScript注入路由器的Web界面。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國銀聯、華夏銀行、南京銀行、瀘州銀行、重慶農村商業銀行報道

責任編輯：韓希宇