國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞562個，互聯網上出現“WordPress SP Project And Document遠程代碼執行漏洞、MIK.starlight輸入驗證錯誤漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

規范用卡 | 管好個人“兩卡”，斬斷電信網絡詐騙犯罪鏈條

嚴厲打擊涉“兩卡”違法犯罪，已經成為斬斷電信網絡詐騙犯罪幫助鏈條、遏制電信網絡詐騙犯罪高發態勢、加強源頭治理的關鍵環節。>>詳細

守護消費者支付安全 中國銀聯啟動2021年移動支付安全大調查活動

9月10日上午，中國銀聯聯合18家全國性商業銀行及多家支付機構共同啟動2021年移動支付安全大調查活動。這是中國銀聯連續第十五年跟蹤消費者移動支付安全的變化。>>詳細

安全出行 科技護航 車聯網V2X安全技術淺析

作為信息安全領域舉足輕重的企業之一，CFCA投入建設了車聯網專用V2X CA，保障車輛與外部環境間的網絡通信安全。同時，配合公司傳統優勢X.509 CA，還能夠確保車內各模塊間的通信安全，為車聯網各環節的通信安全保駕護航。>>詳細

《關鍵信息基礎設施安全保護條例》發布，對密評有何影響？

商用密碼應用安全性評估，指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。>>詳細

【上銀消?！客瑢W，你這樣追星是會被騙錢的！

涉世未深且容易沖動消費的學生黨，很容易成為追星騙局的主要受害者，如果在微信等社交軟件上遇到陌生人，應該謹慎交易，不要輕易相信任何需要付錢的行為。>>詳細

【風險提示】“下載APP”陷阱多，警惕新型電信網絡詐騙！

數據表明，在假冒公檢法、刷單、投資等各類騙局的背后，通過誘騙受害人“下載APP”獲取隱私數據進而實施詐騙的作案手法近年來占比明顯提高。>>詳細

開學季金融安全課堂來啦！

新學期，新征程。今天的杭州銀行金融安全課堂從真實案例入手，聊一聊身邊的網絡詐騙，提醒學生們要保持警惕，避免落入網絡詐騙的陷阱，讓不法分子無可乘之機。>>詳細

【警惕】提醒父母，三類養老騙局要當心！

養老、健康一直是老年人關注的重點，但騙子卻趁機打起老年人的主意，把養老變成了“坑老”，甚至損害了老年人的身體健康。三類常見的老年人詐騙套路要當心！>>詳細

OK金融課堂丨謹防虛假投資理財詐騙

牢記“投資理財常用詐騙套路”，選擇安全且正規的投資理財渠道，保護個人財產安全，守護好您的錢袋子！>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年9月6日-12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞562個，其中高危漏洞144個、中危漏洞377個、低危漏洞41個。漏洞平均分值為5.72。上周收錄的漏洞中，涉及0day漏洞397個（占71%），其中互聯網上出現“WordPress SP Project And Document遠程代碼執行漏洞、MIK.starlight輸入驗證錯誤漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。MSHTML（又稱為Trident）是微軟旗下的Internet Explorer瀏覽器引擎，雖然MHTML主要用于已被棄用的Internet Explorer瀏覽器，但該組件也用于Office應用程序，以在 Word、Excel或PowerPoint文檔中呈現Web托管的內容。上周，上述產品被披露存在權限提升和遠程執行代碼漏洞，攻擊者可利用漏洞實現權限提升，執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows/Windows Server權限提升漏洞（CNVD-2021-68742、CNVD-2021-68741、CNVD-2021-68743、CNVD-2021-68748、CNVD-2021-68749）、Microsoft MSHTML遠程代碼執行漏洞、Microsoft HEVC Video Extensions遠程代碼執行漏洞（CNVD-2021-70142、CNVD-2021-70141）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco NX-OS Software是美國思科（Cisco）公司的一套交換機使用的數據中心級操作系統軟件。Cisco Application Policy Infrastructure Controller（APIC）是美國思科（Cisco）公司的一款自動化的基礎架構部署和治理解決方案。Cisco Evolved Programmable Network Manager是美國思科（Cisco）公司的一套網絡管理解決方案。Cisco SD-WAN Solution是Cisco的一套網絡擴展解決方案，vManage是其中的控制臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞獲取敏感信息，提升權限，在受影響的設備上讀取或寫入任意文件，導致拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Cisco NX-OS Software拒絕服務漏洞（CNVD-2021-68723、CNVD-2021-68721、CNVD-2021-68727）、Cisco Application Policy Infrastructure Controller任意文件讀寫漏洞、Cisco Application Policy Infrastructure Controller權限提升漏洞（CNVD-2021-68725、CNVD-2021-68724）、Cisco Evolved Programmable Network Manager信息泄露漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2021-68733）。其中，“Cisco Application Policy Infrastructure Controller權限提升漏洞（CNVD-2021-68725、CNVD-2021-68724）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache jUDDI是一個服務于WebServices 的UDDI的java實現開源包。Apache CXF是美國阿帕奇（Apache）基金會的一個開源的Web服務框架。該框架支持多種Web服務標準、多種前端編程API等。Apache ServiceComb Service-Center是Apache基金會的一個基于Restful的服務注冊中心，提供微服務發現和微服務管理。Apache Pulsar是美國阿帕奇（Apache）基金會的一個用于云環境種，集消息、存儲、輕量化函數式計算為一體的分布式消息流平臺。Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網頁服務器。Apache Zeppelin是美國阿帕奇（Apache）基金會的一款基于Web的開源筆記本應用程序，該程序支持交互式數據分析和協作文檔。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞繞過身份驗證過程，注入惡意腳本，導致拒絕服務攻擊。

CNVD收錄的相關漏洞包括：Apache jUDDI代碼問題漏洞、Apache CXF資源管理錯誤漏洞（CNVD-2021-70100）、Apache ServiceComb Service-Center路徑遍歷漏洞、Apache Pulsar數據偽造問題漏洞、Apache HTTP Server拒絕服務漏洞（CNVD-2021-70103）、Apache Zeppelin跨站腳本漏洞、Apache Zeppelin命令注入漏洞、Apache Zeppelin身份驗證繞過漏洞。其中，“Apache Pulsar數據偽造問題漏洞、Apache HTTP Server拒絕服務漏洞（CNVD-2021-70103）、Apache Zeppelin命令注入漏洞” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat是由Adobe公司開發的一款PDF編輯軟件。Adobe Reader（也被稱為Acrobat Reader)是由Adobe公司開發的一款PDF文件閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Acrobat/Reader越界寫入漏洞（CNVD-2021-70144）、Adobe Acrobat/Reader類型混淆漏洞（CNVD-2021-70147）、Adobe Acrobat/Reader釋放后重用漏洞（CNVD-2021-70146、CNVD-2021-70145、CNVD-2021-70148）、Adobe Acrobat/Reader越界讀取漏洞（CNVD-2021-70151、CNVD-2021-70152、CNVD-2021-70149）。其中，“Adobe Acrobat/Reader釋放后重用漏洞（CNVD-2021-70145）、Adobe Acrobat/Reader路徑遍歷漏洞（CNVD-2021-70149）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

DIAEnergie跨站請求偽造漏洞

DIAEnergie是Delta Electronics推出的一款工業能源管理系統。上周，DIAEnergie被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞執行未授權操作。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在權限提升和遠程執行代碼漏洞，攻擊者可利用漏洞實現權限提升，執行任意代碼。此外，Cisco、Apache、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞繞過身份驗證過程，獲取敏感信息，注入惡意腳本，提升權限，在受影響的設備上讀取或寫入任意文件，執行任意代碼，導致拒絕服務攻擊等。另外，DIAEnergie被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞執行未授權操作。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國銀聯、中國銀行微銀行、交通銀行、招商銀行、上海銀行、杭州銀行消保之聲、廣西北部灣銀行微生活報道

責任編輯：韓希宇