國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞541個，互聯網上出現“Monstra CMS跨站腳本漏洞（CNVD-2021-49037）、phpList身份驗證繞過漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

2021信創“大比武”金融場景適配驗證賽道正式開啟！等你來戰！

7月14日，由中國金融認證中心（CFCA）主辦的“2021信創‘大比武’金融場景適配驗證賽道”正式拉開帷幕，即日起面向銀行、信創集成商、信創軟硬件提供商等召集參賽團隊。這也是入選“2021信創‘大比武’活動”五個賽道中唯一的金融賽道。>>詳細

工信部發布《網絡安全產業高質量發展三年行動計劃（2021-2023年）（征求意見稿）》

到2023年，網絡安全產業規模超過2500億元，新興技術與網絡安全融合創新明顯加快，網絡安全產品、服務創新能力進一步增強。>>詳細

工信部再出“反詐”新招 正式啟用12381涉詐預警勸阻短信系統

該系統可根據公安機關提供的涉案號碼，利用大數據、人工智能等技術自動分析發現潛在受害用戶，并通過12381短信端口第一時間向用戶發送預警短信。>>詳細

三部門印發《網絡產品安全漏洞管理規定》，9月1日起實施

工信部、國家網信辦、公安部印發網絡產品安全漏洞管理規定，要求任何組織或者個人不得利用網絡產品安全漏洞從事危害網絡安全的活動。>>詳細

一圖+六問，讀懂三部門《網絡產品安全漏洞管理規定》

《規定》的出臺將推動網絡產品安全漏洞管理工作的制度化、規范化、法治化，提高相關主體漏洞管理水平，引導建設規范有序、充滿活力的漏洞收集和發布渠道，防范網絡安全重大風險，保障國家網絡安全。>>詳細

全球數字安全博弈升級，產業區塊鏈的機遇來了？

以區塊鏈和隱私計算為底座，可以實現數據價值的“可用而不可見”。而該技術的商用和產業化發展，也離不開各行業數據安全需求的升級。>>詳細

【轉賬需謹慎】金融消費者財產安全權

遇到轉賬要求需謹慎，多聯系確定是否本人需求，若遇無法辨別的情況時，應及時詢求專業人士的幫助。>>詳細

關于印發《多方安全計算金融應用評估規范》和《移動金融基于聲紋識別的安全應用評估規范》的通知

為落實人民銀行和國家認監委關于加強金融科技產品認證工作的相關要求，加強金融科技產品認證工作的自律管理，中國支付清算協會起草了《多方安全計算金融應用評估規范》和《移動金融基于聲紋識別的安全應用評估規范》。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年7月5日-11日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞541個，其中高危漏洞129個、中危漏洞352個、低危漏洞60個。漏洞平均分值為5.59。上周收錄的漏洞中，涉及0day漏洞234個（占43%），其中互聯網上出現“Monstra CMS跨站腳本漏洞（CNVD-2021-49037）、phpList身份驗證繞過漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

SAP產品安全漏洞

SAP Netweaver是德國思愛普（SAP）公司的一套面向服務的集成化應用平臺。該平臺主要為SAP應用程序提供開發和運行環境。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發送特制數據包導致系統崩潰，將明文命令插入網絡上的加密SMTP會話等。

CNVD收錄的相關漏洞包括：SAP NetWeaver AS for ABAP內存破壞漏洞（CNVD-2021-47708、CNVD-2021-47707、CNVD-2021-47706、CNVD-2021-47710、CNVD-2021-47709）、SAP NetWeaver AS ABAP命令注入漏洞、SAP NetWeaver ABAP Server and ABAP Platform內存破壞漏洞（CNVD-2021-47715、CNVD-2021-47716）。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Windows Print Spooler是Windows的打印機后臺處理程序。Microsoft SharePoint是美國微軟（Microsoft）公司的一套企業業務協作平臺。該平臺用于對業務信息進行整合，并能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提交特殊的請求，導致應用程序崩潰或以應用程序上下文執行任意代碼，對特定的api發送精心構造的數據遠程執行命令，提升權限等。

CNVD收錄的相關漏洞包括：Microsoft Windows Print Spooler代碼執行漏洞、Microsoft Windows Print Spooler權限提升漏洞、Microsoft SharePoint遠程代碼執行漏洞（CNVD-2021-48898、CNVD-2021-48891、CNVD-2021-48896、CNVD-2021-48893、CNVD-2021-48888）、Microsoft SharePoint權限提升漏洞（CNVD-2021-48897）。其中，“Microsoft Windows Print Spooler代碼執行漏洞、Microsoft Windows Print Spooler權限提升漏洞、Microsoft SharePoint遠程代碼執行漏洞（CNVD-2021-48898）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR產品安全漏洞

NETGEAR D3600等都是美國網件（NETGEAR）公司的產品。NETGEAR D3600是一款無線調制解調器。NETGEAR D6000是一款無線調制解調器。NETGEAR D6100是一款無線調制解調器。NETGEAR R6100是一款無線路由器。NETGEAR R6900是一款無線路由器。NETGEAR D7000是一款無線調制解調器。NETGEAR R7500是一款無線路由器。NETGEAR D7800是一款無線調制解調器。NETGEAR R7800是一款無線路由器。NETGEAR R9000是一款無線路由器。NETGEAR M4300-28G等都是美國網件（NETGEAR）公司的一款網管型交換機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞緩沖區溢出或堆溢出，執行非法操作系統命令等。

CNVD收錄的相關漏洞包括：多款NETGEAR產品緩沖區溢出漏洞（CNVD-2021-48928、CNVD-2021-48927、CNVD-2021-48925、CNVD-2021-48930、CNVD-2021-48929、CNVD-2021-48934）、多款NETGEAR產品操作系統命令注入漏洞（CNVD-2021-48926、CNVD-2021-48931）。其中，“多款NETGEAR產品操作系統命令注入漏洞（CNVD-2021-48926）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是一款開源Web瀏覽器。Mozilla Firefox ESR是Firefox(Web瀏覽器)的一個延長支持版本。Mozilla Thunderbird是一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞竊取受害者基于Cookie的身份驗證憑據，授予web內容的其他特權，執行任意代碼等。

CNVD收錄的相關漏洞包括：Mozilla Thunderbird代碼問題漏洞（CNVD-2021-49128）、Mozilla Firefox跨站腳本漏洞（CNVD-2021-49131）、多款Mozilla產品輸入驗證錯誤漏洞、多款Mozilla產品權限提升漏洞（CNVD-2021-49135）、Mozilla Firefox權限許可和訪問控制問題漏洞（CNVD-2021-49133）、多款Mozilla產品資源管理錯誤漏洞（CNVD-2021-49138）、多款Mozilla產品數據偽造問題漏洞（CNVD-2021-49136）、多款Mozilla產品緩沖區溢出漏洞（CNVD-2021-49139）。其中，“多款Mozilla產品資源管理錯誤漏洞（CNVD-2021-49138）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

QSAN Storage Manager操作系統命令注入漏洞

QSAN Storage Manager是廣盛科技股份有限公司（QSAN）的一個NAS操作系統。上周，QSAN Storage Manager被披露存在命令注入漏洞。攻擊者可利用該漏洞執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，SAP產品被披露存在多個漏洞，攻擊者可利用漏洞發送特制數據包導致系統崩潰，將明文命令插入網絡上的加密SMTP會話等。此外，Microsoft、NETGEAR、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞提交特殊的請求，導致應用程序崩潰或以應用程序上下文執行任意代碼，緩沖區溢出或堆溢出，執行非法操作系統命令。另外，QSAN Storage Manager被披露存在命令注入漏洞。攻擊者可利用漏洞執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信部、中國支付清算協會、第一財經、泉州銀行報道

責任編輯：韓希宇