國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞595個，互聯網上出現“Bludit跨站腳本漏洞（CNVD-2022-02493）、Waimai Super Cms跨站腳本漏洞（CNVD-2022-02739）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

“斷卡”行動升級 銀行信用卡單戶持卡數量或降至5張

自去年至今，已有部分銀行針對“信用卡持卡量”發布過相關公告，且持卡量管控正在不斷升級。>>詳細

【努客兒安全課堂】租借賬戶躺著賺錢？這樣的“好事”別信！

表面看來這些租借的賬戶是為他人進行資金代收款，實質上是被犯罪團伙用于贓款轉移。>>詳細

【消?！俊秱€人信息保護法》，為你我筑起一道防護盾

敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。>>詳細

【防騙】練就“火眼金睛”掌握防騙本領

近些年，假冒APP和仿冒網站的騙局數量直線上升。如何能練就“火眼金睛”，辨別真假、不踩坑？這就為您來支招啦！>>詳細

電子銀行安全評估——商業銀行信息安全工作必選項

面對種種外在威脅存在的嚴峻形勢，銀行業需要更加重視電子銀行的安全性，結合系統特性，有針對性地開展電子銀行信息安全保障工作。>>詳細

【消?！烤?！有償“征信修復”騙局，您中招了嗎

凡是利用非正式官方渠道查詢報告騙取個人信息和資金的，都是詐騙！>>詳細

【反詐騙】詐騙電話花樣多，陌生電話不輕信！

任何陌生人來電，但凡提出了添加微信、掃描二維碼、提供驗證碼、匯款的要求，基本能判定是騙局！>>詳細

【消?！咳绾卧趥€人信用報告中添加“本人聲明”

如果您對個人信用報告中的信貸業務信息需要進行聲明，可向中國人民銀行征信中心或各地征信分中心進行申請。>>詳細

八步教您守住錢袋子

提升資金安全系數，已經成為我們必學的技能之一。學會以下個人金融信息風險防范小技巧，保護好自己的錢袋子！>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年1月10日-16日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞595個，其中高危漏洞189個、中危漏洞371個、低危漏洞35個。漏洞平均分值為5.92。上周收錄的漏洞中，涉及0day漏洞368個（占62%），其中互聯網上出現“Bludit跨站腳本漏洞（CNVD-2022-02493）、Waimai Super Cms跨站腳本漏洞（CNVD-2022-02739）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Oracle產品安全漏洞

Oracle E-Business Suite是在原來Application（ERP）基礎上的擴展，包括ERP（企業資源計劃管理）、HR（人力資源管理）、CRM（客戶關系管理）等等多種管理軟件的集合，是無縫集成的一個管理套件。Oracle Applications Framework是Oracle公司開發的專有框架，用于Oracle E-Business Suite（Oracle電子商務套件）中的應用程序開發。Oracle Universal Work Queue是其中的一個靈活的工作演示和訪問工具，可提供工作的集中視圖和訪問。Oracle Sales Offline是其中的一款離線銷售管理軟件。Oracle Incentive Compensation是其中的一個全球化的浮動薪酬管理軟件，可自動設計、管理和分析針對員工和合作伙伴的基于激勵機制的報酬計劃，從而有效促進企業目標的實現。Oracle Trade Management是其中的一個支持迭代銷售模型的銷售應用程序。Oracle Applications Manager (OAM)可讓管理員從HTML控制臺管理Oracle E-Business Suite系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞對Oracle Trade Management可訪問數據的子集進行未經授權的讀取訪問，對某些Oracle Applications Manager可訪問數據的未經授權的更新、插入或刪除訪問，導致Oracle應用程序框架的部分拒絕服務（部分 DOS）等。

CNVD收錄的相關漏洞包括：Oracle E-Business Suite拒絕服務漏洞（CNVD-2022-02347、CNVD-2022-02348）、Oracle E-Business Suite未授權訪問漏洞（CNVD-2022-02349、CNVD-2022-02351、CNVD-2022-02350、CNVD-2022-02353、CNVD-2022-02352、CNVD-2022-02357）。其中，“Oracle E-Business Suite未授權訪問漏洞（CNVD-2022-02349、CNVD-2022-02357）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Dimension是美國Adobe公司的是一套2D和3D合成設計工具。Adobe Prelude是美國奧多比（Adobe）公司的一套視頻素材編輯剪輯工具。該產品能夠對視頻素材進行剪輯、排序和注釋等。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞在當前用戶的上下文中執行任意代碼，導致敏感內存泄露。

CNVD收錄的相關漏洞包括：Adobe Dimension內存損壞漏洞、Adobe Dimension越界讀取漏洞（CNVD-2022-02631、CNVD-2022-02635、CNVD-2022-02636）、Adobe Dimension越界寫入漏洞（CNVD-2022-02634、CNVD-2022-02633）、Adobe Prelude內存損壞漏洞（CNVD-2022-02637、CNVD-2022-02638）。其中，“Adobe Dimension內存損壞漏洞、Adobe Dimension越界寫入漏洞（CNVD-2022-02634、CNVD-2022-02633）、Adobe Prelude內存損壞漏洞（CNVD-2022-02637、CNVD-2022-02638）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Kylin是美國阿帕奇（Apache）基金會的一款開源的分布式分析型數據倉庫。該產品主要提供Hadoop/Spark之上的SQL查詢接口及多維分析（OLAP）等功能。Apache Avro是美國阿帕奇（Apache）基金會的一個數據序列化系統。為 Apache Hadoop 提供數據序列化和數據交換服務。Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache NiFi是美國阿帕奇（Apache）基金會的一套數據處理和分發系統。該系統主要用于數據路由、轉換和系統中介邏輯。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞探測服務器內網資源，分配過多資源導致拒絕服務，在Kylin服務器進程中執行來自黑客控制的惡意MySQL服務器的任意代碼。

CNVD收錄的相關漏洞包括：Apache Kylin輸入驗證錯誤漏洞、Apache Kylin操作系統命令注入漏洞、Apache Kylin服務端請求偽造漏洞、Apache Kylin權限許可和訪問控制問題漏洞、Apache Avro資源管理錯誤漏洞、Apache HTTP Server目錄遍歷漏洞、Apache NiFi操作系統命令注入漏洞、Apache HTTP Server ap_escape_quotes緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Trendnet產品安全漏洞

Trendnet AC2600 TEW-827DRU是一款無線路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞強制更改管理員密碼，通過Bittorent web客戶端訪問和修改設置和文件，提供格式錯誤的參數以root用戶身份注入命令等。

CNVD收錄的相關漏洞包括：Trendnet AC2600 TEW-827DRU身份驗證繞過漏洞、Trendnet AC2600 TEW-827DRU訪問控制錯誤漏洞、Trendnet AC2600 TEW-827DRU數據偽造問題漏洞、Trendnet AC2600 TEW-827DRU命令注入漏洞（CNVD-2022-03198、CNVD-2022-03200）、Trendnet AC2600 TEW-827DRU信任管理問題漏洞、Trendnet AC2600 TEW-827DRU拒絕服務漏洞、Trendnet AC2600 TEW-827DRU加密問題漏洞。除“Trendnet AC2600 TEW-827DRU訪問控制錯誤漏洞、Trendnet AC2600 TEW-827DRU數據偽造問題漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google Chrome越界寫入漏洞（CNVD-2022-02736）

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，Google Chrome被披露存在越界寫入漏洞。攻擊者可利用該漏洞在系統上執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Oracle產品被披露存在多個漏洞，攻擊者可利用該漏洞對Oracle Trade Management可訪問數據的子集進行未經授權的讀取訪問，對某些Oracle Applications Manager可訪問數據的未經授權的更新、插入或刪除訪問，導致Oracle應用程序框架的部分拒絕服務（部分 DOS）等。此外，Adobe、Apache、Trendnet等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞在當前用戶的上下文中執行任意代碼，導致敏感內存泄露，執行任意代碼，探測服務器內網資源，分配過多資源導致拒絕服務等。另外，Google Chrome被披露存在越界寫入漏洞。攻擊者可利用該漏洞在系統上執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、證券日報、網聯清算有限公司、中國光大銀行、浦發銀行、邢臺銀行、四川農信報道

責任編輯：韓希宇