國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞537個，互聯網上出現“Pimcore跨站腳本漏洞（CNVD-2022-22702）、CuppaCMS SQL注入漏洞（CNVD-2022-22322）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

《中國銀聯金融信息技術應用創新產品能力評估指引》發布 CFCA護航生態伙伴創新應用能力建設

《指引》對金融信息技術應用創新產品在事前產品選型把關、強化關鍵技術提供方資質能力審核、前瞻性、可擴展性、穩定性等方面給予技術應用適配測試和安全評估指導，確保技術路徑與需求高度匹配。>>詳細

金融科技賦能服務新市民：多維度重新勾勒信用特征，“因人制宜”強化金融反欺詐

除了因人制宜做好金融反欺詐知識普及推廣，銀行還需充分考慮到廣大新市民“碎片化”、偏向休閑娛樂性質的閱讀特點，通過AI漫畫等其他形式提醒老年新市民“不亂頭”，年輕新市民“不亂貸”。>>詳細

【防騙】識破非法集資陷阱，硬核抵制高利誘惑

非法集資防范技巧：看主體資質，除了看是否取得企業營業執照，還要看是否取得相應金融牌照或經金融管理部門批準。>>詳細

數字金融糾紛能在線一站解決嗎？重慶銀行、CFCA說可以！

重慶銀行引入中國金融認證中心（CFCA）“基于電子認證技術的線上類案快速糾紛解決創新方案”，該方案創新構建金融機構、司法審判/公證機構多方聯動模式，高效打通數字金融糾紛在線解決鏈條。>>詳細

【提醒】誘騙老年人轉賬需警惕！

安享晚年不容易!防范意識必牢記!陌生匯款莫輕信!保護資金安全!謹防電信詐騙! >>詳細

這些電信詐騙“關鍵特征”您要牢記！

如果您真的遭遇電信(網絡)詐騙，除了及時辦理掛失賬戶、修改密碼等方式止損外，建議您立即報警，同時保存被騙過程的轉賬截圖、通話記錄、聊天記錄等信息，將騙子的銀行賬號、賬戶姓名提供給警方，最大限度爭取時間由公安機關緊急止付。>>詳細

夯實新金融生態根基，浦發銀行通過CFCA聯邦學習產品測評

2022年3月，浦發銀行“波塞冬聯邦學習產品”通過了中國金融認證中心（CFCA）聯邦學習技術應用產品測評并獲得了產品測評報告。>>詳細

【消?！糠乐剐畔⑿孤?，切勿掉以輕心

消費者應注意不點擊不明來源網絡鏈接，不在不明網站、APP上填寫個人身份信息，自己收到的各類驗證碼，不要告訴任何人，也不要在金融機構官方網站或APP外的平臺輸入金融機構發來的驗證碼。不要輕信不法分子的言論，例如共享屏幕等。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年3月21日-27日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞537個，其中高危漏洞180個、中危漏洞272個、低危漏洞85個。漏洞平均分值為5.84。上周收錄的漏洞中，涉及0day漏洞299個（占56%），其中互聯網上出現“Pimcore跨站腳本漏洞（CNVD-2022-22702）、CuppaCMS SQL注入漏洞（CNVD-2022-22322）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

TP-Link產品安全漏洞

TP-Link TL-WR886N是中國普聯公司的一款無線路由器。Tp-link TL-WR841N是一款無線路由器。TP-Link TL-WR940N是一款無線路由器。Tp-link AC1750是一款無線路由器。TP-Link Archer C1200是一款無線雙頻Gigabit路由器。TP-Link UE330 USB是端口USB 3.0集線器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過望遠鏡和光電傳感器從設備上的LED恢復語音信號，進行“螢火蟲”攻擊，使應用程序崩潰，在root上下文中執行代碼等。

CNVD收錄的相關漏洞包括：TP-Link TL-WR886N棧溢出漏洞（CNVD-2022-21168）、CNVD-2022-21167）、Tp-link TL-WR841N信任管理問題漏洞、TP-Link TL-WR940N緩沖區溢出漏洞、TP-Link AC1750輸入驗證錯誤漏洞、TP-Link Archer C1200跨站腳本漏洞（CNVD-2022-21173）、TP-Link UE330 USB信息泄露漏洞、TP-Link Archer A7 AC1750命令注入漏洞。其中，除“TP-Link Archer C1200跨站腳本漏洞（CNVD-2022-21173）、TP-Link UE330 USB信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe After Effects是一套視覺效果和動態圖形制作軟件。Adobe Illustrator是一套基于向量的圖像制作軟件。Adobe Commerce在單一平臺上為B2B和B2C客戶構建多渠道商務體驗。Adobe Acrobat Reader Dc是一個Pdf閱讀工具。用于可靠查看、打印和注釋Pdf文檔。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致當前用戶上下文中的內存泄漏，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Photoshop越界讀取漏洞（CNVD-2022-22097）、Adobe After Effects緩沖區溢出漏洞（CNVD-2022-22096、CNVD-2022-22095、CNVD-2022-22099）、Adobe After Effects越界寫入漏洞（CNVD-2022-22094）、Adobe Illustrator緩沖區溢出漏洞（CNVD-2022-22098）、Adobe Commerce輸入驗證錯誤漏洞（CNVD-2022-22100）、Adobe Acrobat Reader Dc緩沖區溢出漏洞（CNVD-2022-22658）。其中，除“Adobe Photoshop越界讀取漏洞（CNVD-2022-22097）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升本地權限，造成應用拒絕服務，本地權限提升等。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-22949、CNVD-2022-22950、CNVD-2022-22953、CNVD-2022-22952、CNVD-2022-22956、CNVD-2022-22955）、Google Android信息泄露漏洞、Google Android拒絕服務漏洞。其中，“Google Android權限提升漏洞（CNVD-2022-22949、CNVD-2022-22953、CNVD-2022-22956）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit PDF Reader是中國福昕（Foxit）公司的一款PDF閱讀器。上周，上述產品被披露存在資源管理錯誤漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Foxit PDF Reader資源管理錯誤漏洞（CNVD-2022-22730、CNVD-2022-22729、CNVD-2022-22731、CNVD-2022-22734、CNVD-2022-22736、CNVD-2022-22735、CNVD-2022-22738、CNVD-2022-22740）。目前，廠商已經發布了上述漏洞的修補程序。

TOTOLINK A3100R命令注入漏洞（CNVD-2022-21549）

Totolink A3100R是中國Totolink公司的一系列無線路由器。上周，TOTOLINK A3100R被披露存在命令注入漏洞。攻擊者可利用該漏洞發送特殊的命令數據實現命令注入。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，TP-Link產品被披露存在多個漏洞，攻擊者可利用漏洞通過望遠鏡和光電傳感器從設備上的LED恢復語音信號，進行“螢火蟲”攻擊，使應用程序崩潰，在root上下文中執行代碼等。此外，Adobe、Google、Foxit等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升本地權限，造成應用拒絕服務，在當前用戶的上下文中執行任意代碼。另外，TOTOLINK A3100R被披露存在命令注入漏洞。攻擊者可利用該漏洞發送特殊的命令數據實現命令注入。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國工商銀行、中國光大銀行、杭州銀行微訊報道

責任編輯：韓希宇