國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞353個，互聯網上出現“Redisgraph Online-matrimonial-project-in-php文件上傳漏洞、projectworlds car rental management system跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

更嚴格保護個人信息、數據安全，上海還將出臺這些措施

《條例》共有10章91條，以促進數據利用和產業發展為基本定位，緊扣以規范促發展、以保護促利用的立法主線，聚焦數據權益保障、數據流通利用、數據安全管理三大環節。>>詳細

新一輪“睡眠賬戶”清理來了 有這些卡的要注意

相比降低管理成本等因素，銀行開展“睡眠賬戶”清理行動，更為重要的是加強銀行的賬戶管理，遏制跨境賭博、電信詐騙等違法違規活動蔓延，保障賬戶資金安全。>>詳細

新突破！CFCA基于金融行業標準的人工智能算法檢測首次落地

為進一步推動規范落地，防范金融領域人工智能算法應用風險，CFCA建立了涵蓋安全性、可解釋性、精準性和性能等方面的人工智能算法檢測體系。>>詳細

【安全】常見網絡騙局盤點，了解套路不上當！

涉及錢財交易需謹慎，請您仔細核對并確認收款人、收款賬戶信息無誤再進行支付，同時慎重點擊或掃描陌生人發來的不明網頁鏈接和二維碼。>>詳細

警惕！別讓“共享屏幕”變成詐騙分子的“共享錢包”

屏幕共享相當于手機的錄屏操作，實質是把屏幕上顯示的內容全都記錄下來，并同步讓對方看到。不僅是彈框顯示短信、微信、其它APP推送的內容，甚至連被騙人在手機上的任何操作，包括所有輸入的銀行卡信息、支付密碼、驗證碼等，詐騙分子均能通過這項功能一一獲取。>>詳細

【實用】安全中心為您護航，安心暢享便捷體驗

數字證書是基于第三方電子認證機構的簽名服務，采用密鑰分散的協同簽名技術，為您提供安全便捷的數字簽名和認證服務。安裝后通過短信驗證碼的方式即可享受到每日最高50萬元的轉賬額度。>>詳細

勿貪小利 | “殺魚”了！快逃！

我們在二手平臺交易時，可能會遇到賣家以讓利的形式提供繞過平臺的付款方式，邀請買家通過掃碼或點擊鏈接進行付款。遇到這種情況，很可能是碰到了“殺魚”盤。>>詳細

【警惕】防范老年人電信詐騙，守護他們的財產安全

面對形形色色的騙術，一定要保持清醒的頭腦，不輕信他人，牢記世上“沒有免費的午餐”。>>詳細

【防詐提示】如何有效防范電信詐騙

近年來，電信網絡詐騙犯罪活動持續高發，此類活動嚴重侵害了大家的財產安全和其他合法權益，嚴重干擾了電信網絡秩序，也影響到了大家的安全感和社會和諧穩定。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年1月3日-9日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞353個，其中高危漏洞103個、中危漏洞220個、低危漏洞30個。漏洞平均分值為5.84。上周收錄的漏洞中，涉及0day漏洞229個（占65%），其中互聯網上出現“Redisgraph Online-matrimonial-project-in-php文件上傳漏洞、projectworlds car rental management system跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apache產品安全漏洞

Apache James是美國阿帕奇（Apache）基金會的一個完全用Java編寫的開源Smtp和Pop3郵件傳輸代理和Nntp新聞服務器。Apache Parquet是一種列式存儲格式?？捎糜贖adoop生態系統中的任何項目。Apache Log4j是一款基于Java的開源日志記錄工具。Apache DB DdlUtils是美國阿帕奇（Apache）基金會的一個易于使用的小型組件，用于處理數據庫定義 (DDL) 文件。Apache Storm是一個免費開源的分布式實時計算系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞造成拒絕服務攻擊，遠程代碼執行等。

CNVD收錄的相關漏洞包括：Apache James命令注入漏洞、Apache James拒絕服務漏洞、Apache James路徑遍歷漏洞、Apache Parquet輸入驗證錯誤漏洞、Apache Log4j代碼執行漏洞、Apache DB DdlUtils代碼問題漏洞、Apache Storm代碼問題漏洞、Apache log4j2拒絕服務漏洞。其中，“Apache DB DdlUtils代碼問題漏洞、Apache Storm代碼問題漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Lantronix產品安全漏洞

Lantronix PremierWave 2050是美國Lantronix公司的一個嵌入式企業Wi-Fi模塊。用于提供可靠且始終在線的5G Wi-Fi連接。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞導致命令執行，任意文件覆蓋等 。

CNVD收錄的相關漏洞包括：Lantronix PremierWave 2050 OS命令注入漏洞（CNVD-2022-01593、CNVD-2022-01602、CNVD-2022-01599）、Lantronix PremierWave 2050路徑遍歷漏洞（CNVD-2022-01594）、Lantronix PremierWave 2050堆棧緩沖區溢出漏洞（CNVD-2022-01605、CNVD-2022-01608、CNVD-2022-01604、CNVD-2022-01607）。其中，“Lantronix PremierWave 2050 OS命令注入漏洞（CNVD-2022-01593、CNVD-2022-01602、CNVD-2022-01599）、Lantronix PremierWave 2050路徑遍歷漏洞（CNVD-2022-01594）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Audition是一款音頻編輯器和后期制作套件。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞導致內存泄露，執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Audition越界讀取漏洞（CNVD-2022-00586、CNVD-2022-00587）、Adobe Audition任意代碼執行漏洞（CNVD-2022-00590、CNVD-2022-00592、CNVD-2022-00591、CNVD-2022-00596、CNVD-2022-00595、CNVD-2022-00594）。其中，除“Adobe Audition越界讀取漏洞（CNVD-2022-00586、CNVD-2022-00587）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Rust rusqlite crate是一個符合人體工程學的包裝器，用于使用來自 Rust 的 SQLite。它試圖暴露一個類似于rust-postgres的接口。Mozilla Rust lru crate是LRU緩存的實現。Rust libpulse-binding crate是該存儲庫包含用于從Rust編程語言連接到PulseAudio (PA) 的sys (FFI) 和綁定庫 (crates)。Rust actix-web crate是一個Rust網絡框架。Rust是Mozilla基金會的一款通用、編譯型編程語言。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞造成內存破壞和拒絕服務。

CNVD收錄的相關漏洞包括：Mozilla Rust rusqlite crate內存破壞漏洞、Mozilla Rust lru crate釋放后重用漏洞、Mozilla Rust libpulse-binding crate內存破壞漏洞、Mozilla Rust actix-web crate內存破壞漏洞（CNVD-2022-01146、CNVD-2022-01148、CNVD-2022-01150）、Mozilla Rust內存破壞漏洞（CNVD-2022-01149、CNVD-2022-01151）。其中，“Mozilla Rust actix-web crate內存破壞漏洞（CNVD-2022-01146、CNVD-2022-01148、CNVD-2022-01150）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tripexpress路徑遍歷漏洞

Tripexpress是奧地利Shpetim Islami個人開發者的一個開源巴士旅游旅游預訂管理網絡應用程序。上周，Tripexpress被披露存在路徑遍歷漏洞。攻擊者可利用該漏洞導致路徑操作。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apache產品被披露存在多個漏洞，攻擊者可利用該漏洞造成拒絕服務攻擊，遠程代碼執行等。此外，Lantronix、Adobe、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞造成內存破壞，拒絕服務，執行任意代碼，任意文件覆蓋等。另外，Tripexpress被披露存在路徑遍歷漏洞。攻擊者可利用該漏洞導致路徑操作。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、第一財經、中國工商銀行客戶服務、交通銀行微銀行、中國光大銀行、河北銀行、昆侖銀行報道

責任編輯：韓希宇