國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞603個，互聯網上出現“Accela Civic Platform信息泄露漏洞、GetSimple CMS跨站腳本漏洞（CNVD-2021-61755）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國務院發布《關鍵信息基礎設施安全保護條例》

《關鍵信息基礎設施安全保護條例》已經2021年4月27日國務院第133次常務會議通過，現予公布，自2021年9月1日起施行。>>詳細

司法部 網信辦 工業和信息化部 公安部負責人就《關鍵信息基礎設施安全保護條例》答記者問

實踐中，一些個人和組織擅自對關鍵信息基礎設施實施漏洞探測、滲透性測試等活動，影響關鍵信息基礎設施安全。>>詳細

安全形勢日益復雜，如何有效滿足各行業移動安全剛需？

移動金融涉及互聯網服務端和移動用戶終端之間的信息互聯，傳統安全防護手段已無法應對，移動安全技術和產品亟待升級更新。>>詳細

CFCA與百度深化戰略合作 助推行業數智化轉型

8月18日，中國金融認證中心（CFCA）與百度舉辦了戰略合作簽約儀式，CFCA董事長兼總經理胡瑩、百度副總裁李碩出席。雙方將通過技術與場景的深度融合與聯合創新，共建行業科技生態圈。>>詳細

國標行標同步聚焦 金融業數據中心合規建設到位了嗎？

伴隨云計算和大數據時代的到來，金融數字化進程加速，在線金融業務快速普及、高頻交易，這對數據中心基礎設施的數量、規模、算力也提出了更高要求。>>詳細

防范打擊跨境賭博，筑牢資金安全防線

不出租、出借、出售任何形式的個人金融賬戶，包括銀行卡，支付二維碼等。>>詳細

【安全課堂】企業財務人員，請查收這份安全錦囊

對于網絡社交平臺不明的好友申請，應保持謹慎，務必仔細核實確認對方身份真假，不要僅僅依據頭像和昵稱就認定對方身份。>>詳細

普及|開學季防詐騙，這份“防騙指南”請收好！

開學季即將到來，每年到了這個時候，就有不法分子伺機實施詐騙。小編提醒您，這些詐騙手段一定要當心！>>詳細

差旅中的信息安全，這些知識你必須知道

由于出差是在陌生的環境出入，敏感數據和資源被竊的風險因此大增。為確保個人信息安全，避免公司財產損失，需要針對差旅中的安全風險采取相應的安全防范措施。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年8月9日-15日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞603個，其中高危漏洞135個、中危漏洞403個、低危漏洞65個。漏洞平均分值為5.52。上周收錄的漏洞中，涉及0day漏洞382個（占63%），其中互聯網上出現“Accela Civic Platform信息泄露漏洞、GetSimple CMS跨站腳本漏洞（CNVD-2021-61755）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。Microsoft Visual Studio Code是一款開源的代碼編輯器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft Visual Studio Code命令注入漏洞（CNVD-2021-61415）、Microsoft Windows和Windows Server權限提升漏洞（CNVD-2021-61773、CNVD-2021-61772、CNVD-2021-61771、CNVD-2021-61777、CNVD-2021-61781、CNVD-2021-61784、CNVD-2021-61782）。其中，除“Microsoft Windows和Windows Server權限提升漏洞（CNVD-2021-61772、CNVD-2021-61771、CNVD-2021-61777）” 外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens SINEC NMS是德國西門子（Siemens）公司的一個網絡管理系統 (NMS)。Siemens SIMATIC S7-1200是一款S7-1200系列PLC（可編程邏輯控制器）。SIMATIC S7-1500 CPU是一款CPU（中央處理器）模塊。SIMATIC S7-1500是一款可編程邏輯控制器。Siemens Solid Edge是一款三維CAD軟件。Siemens Automation License Manager集中管理各種西門子軟件產品的許可證密鑰。Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設計2D、3D場景提供團隊協作功能的軟件。上周，上述產品被披露存在未授權訪問漏洞，攻擊者可利用漏洞繞過身份驗證，越界訪問，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Siemens Jt2go和Teamcenter Visualization空指針解引用漏洞、Siemens SINEC NMS OS命令注入漏洞、Siemens SIMATIC S7-1200缺少身份驗證漏洞、Siemens SIMATIC S7-1500 CPU和SIMATIC S7-1500不正確授權漏洞、Siemens Solid Edge XML外部實體注入漏洞、Siemens Solid Edge釋放后重用漏洞、Siemens Solid Edge緩沖區溢出漏洞（CNVD-2021-61127）、Siemens Automation License Manager拒絕服務漏洞（CNVD-2021-61126）。其中“Siemens SINEC NMS OS命令注入漏洞、Siemens SIMATIC S7-1200缺少身份驗證漏洞、Siemens Solid Edge釋放后重用漏洞、Siemens Solid Edge緩沖區溢出漏洞（CNVD-2021-61127）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR產品安全漏洞

NETGEAR D8500、NETGEAR R7800、NETGEAR D6100、NETGEAR WNDR3700、NETGEAR R8900、NETGEAR EX7000、NETGEAR R6250都是美國網件（NETGEAR）公司的無線路由器產品。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行非法命令，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：多款NETGEAR產品命令注入漏洞（CNVD-2021-61058、CNVD-2021-61057）、多款NETGEAR產品緩沖區溢出漏洞（CNVD-2021-61056、CNVD-2021-61059、CNVD-2021-61062、CNVD-2021-61061、CNVD-2021-61060、CNVD-2021-61054）。目前，廠商已經發布了上述漏洞的修補程序。

WordPress產品安全漏洞

WordPress是WordPress基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞注入任意的web腳本或HTML，獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：WordPress跨站請求偽造漏洞（CNVD-2021-59587）、WordPress W3 Total Cache插件跨站腳本漏洞、WordPress WP Image Zoom插件文件包含漏洞、WordPress Event Espresso Core跨站腳本漏洞、WordPress插件跨站腳本漏洞（CNVD-2021-59594、CNVD-2021-59603）、WordPress信息泄露漏洞（CNVD-2021-59604）、WordPress SQL注入漏洞（CNVD-2021-61432）。目前，廠商已經發布了上述漏洞的修補程序。

Advantech WebAccess HMI Designer緩沖區溢出漏洞（CNVD-2021-60558）

Advantech WebAccess HMI Designer是中國臺灣研華（Advantech）公司的一款人機界面集成開發工具。上周，Advantech WebAccess HMI Designer被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞使用專門設計的項目文件，觸發基于堆的緩沖區溢出，并在目標系統上執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行任意代碼等。此外，Siemens、NETGEAR、WordPress等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過身份驗證，獲取敏感信息，執行任意代碼，導致拒絕服務，緩沖區溢出或堆溢出等。另外，Advantech WebAccess HMI Designer被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞使用專門設計的項目文件，觸發基于堆的緩沖區溢出，并在目標系統上執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國政府網、司法部、工行電子銀行、民生銀行手機銀行、微青銀、廣東農信報道

責任編輯：韓希宇