國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞721個，互聯網上出現“pimcore跨站腳本漏洞（CNVD-2022-07500）、Blackmagic Design DaVinci Resolve代碼執行漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

存取現金超5萬要登記？央行回應：不影響業務便利度，意在反洗錢監管

金融機構依法適當加強對現金存取款活動的管理，有利于防范違法犯罪活動，有利于保護最廣大人民群眾的根本利益。>>詳細

科普|用卡知識小講堂：如何安全用卡？

辦卡申請遞交后要及時跟進辦卡進度，對銀行寄出的卡片進行地址核對。收到卡片后，記得檢查信封是否完好，若有拆封痕跡立即與發卡銀行聯系。>>詳細

關于警惕網絡平臺誘導過度借貸的風險提示

要樹立理性消費觀，合理使用借貸產品，選擇正規機構、正規渠道獲取金融服務，警惕過度借貸營銷背后隱藏的風險或陷阱。>>詳細

有溫度的消保 | 搶紅包竟要填寫個人信息？年獸新年慘被騙！

遇到商家推出的紅包活動一定要仔細核實。真的紅包拆開后，錢會自動進入到我們的零錢賬戶里，如需跳轉到其他網站，或要求先關注、分享才能領取的，都要小心。>>詳細

消費者權益保護 | 警惕涉疫騙局 別讓“綠碼”變成“傷心碼”

流調過程中，公民的個人信息和隱私是受法律保護的，所獲得的所有信息都嚴格保密。>>詳細

違規使用銀行賬戶的后果，您知道嗎？

賺錢不容易，投資需謹慎；詐騙套路多，小心不上當；合規用賬戶，聲譽最重要；告訴自己“我不眼饞，我不賺快錢！” >>詳細

津宣傳 | 闔家團圓話家常，電信詐騙必須防！

任何人、任何機構與任何組織都無權知道我們的密碼，請拒絕任何企圖索取數字人民幣APP登錄和交易密碼的要求，不偏信輕信，提高風險防范意識。>>詳細

【消保黔行】提防投資詐騙，業務辦理請走正規渠道

老年人的財產安全至關重要，防范網絡電信詐騙是必要的，面對生活中常發的網絡電信詐騙，老年人需要提高網絡電信安全意識，做到不聽、不信、不轉賬，讓不法分子無縫可鉆，保護老年人自身財產安全。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年1月24日-2月6日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞721個，其中高危漏洞190個、中危漏洞450個、低危漏洞81個。漏洞平均分值為5.59。上周收錄的漏洞中，涉及0day漏洞307個（占43%），其中互聯網上出現“pimcore跨站腳本漏洞（CNVD-2022-07500）、Blackmagic Design DaVinci Resolve代碼執行漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞導致緩沖區溢出，整數溢出，提升權限等。

CNVD收錄的相關漏洞包括：Google Android緩沖區溢出漏洞（CNVD-2022-06153）、Google Android輸入驗證錯誤漏洞（CNVD-2022-06152）、Google Android越界寫入漏洞（CNVD-2022-06154、CNVD-2022-06897）、Google Android權限提升漏洞（CNVD-2022-06157、CNVD-2022-06156、CNVD-2022-06158）、Google Android邏輯缺陷漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Security Manager（CSM）是美國思科（Cisco）公司的一套企業級的管理應用，它主要用于在Cisco網絡和安全設備上配置防火墻。VPN和入侵保護安全服務。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞對該界面的用戶進行跨站點腳本攻擊，導致代碼執行，信息泄漏等。

CNVD收錄的相關漏洞包括：Cisco Security Manager跨站腳本漏洞（CNVD-2022-06378、CNVD-2022-06377、CNVD-2022-06380、CNVD-2022-06379、CNVD-2022-06383、CNVD-2022-06382、CNVD-2022-06381、CNVD-2022-06386）。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR產品安全漏洞

NETGEAR D7000是美國網件（Netgear）公司的一款無線調制解調器。NETGEAR xr1000是美國網件（Netgear）公司的一款路由器。NETGEAR R6700v2是美國網件（Netgear）公司的一款無線路由器。NETGEAR R8000是美國網件（Netgear）公司的一款無線路由器。NETGEAR R6260是美國網件（Netgear）公司的一款路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞繞過訪問控制，造成拒絕服務攻擊，在root上下文中執行代碼等。

CNVD收錄的相關漏洞包括：Netgear NETGEAR D7000授權問題漏洞（CNVD-2022-06684、CNVD-2022-06687）、NETGEAR D7000和NETGEAR授權問題漏洞、NETGEAR XR1000信任管理問題漏洞、NETGEAR R6700v2權限許可和訪問控制問題漏洞、NETGEAR R8000緩沖區溢出漏洞（CNVD-2022-06691）、NETGEAR R6260堆棧的緩沖區溢出漏洞、NETGEAR R6260 mini_httpd SOAP緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL Cluster是美國甲骨文（Oracle）公司開發的一個寫可擴展、實時。兼容ACID的事務型數據庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用該漏洞破壞或刪除數據，執行任意代碼等。

CNVD收錄的相關漏洞包括：Oracle MySQL Cluster輸入驗證錯誤漏洞（CNVD-2022-07913、CNVD-2022-07912、CNVD-2022-07915、CNVD-2022-07914、CNVD-2022-07919、CNVD-2022-07923、CNVD-2022-07926、CNVD-2022-07925）。目前，廠商已經發布了上述漏洞的修補程序。

Moddable SDK拒絕服務漏洞

Moddable SDK是美國Moddable公司的一套用于物聯網嵌入式軟件開發的軟件開發工具包（SDK）。上周，Moddable SDK被披露存在拒絕服務漏洞。攻擊者可利用該漏洞導致拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用該漏洞導致緩沖區溢出，整數溢出，提升權限等。此外，Cisco、NETGEAR、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用該漏洞破壞或刪除數據，導致代碼執行，信息泄漏等。另外，Moddable SDK被披露存在拒絕服務漏洞。攻擊者可利用該漏洞導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案 。

中國電子銀行網綜合CNVD、中國銀保監會、21世紀經濟報道、中信銀行、渤海銀行、天津銀行、貴州銀行、寧夏銀行、廣東農信報道

責任編輯：韓希宇