國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞160個，互聯網上出現“Apache James Server遠程命令執行漏洞、WordPress插件Wappointment跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

全國打擊治理電信網絡新型違法犯罪工作電視電話會議召開

會議要求，要加強預警預防，全方位織密織牢技術反詐防護網絡。>>詳細

反詐無間道 | 對不起，我的真實身份是....

如遇到自稱公檢法機構人員要求轉賬，切勿輕信!公檢法機關不會通過電話網上辦案，更沒有所謂的“安全賬戶”。>>詳細

這個行業責任重大！如何保障數字安全？CFCA全力賦能醫療信息化建設

鑒于醫療行業數字安全的重要性，我國已于最近數年內陸續出臺多部法規條例，規范醫療行業數字安全管控。>>詳細

筑牢遠程反詐“防護網” 農業銀行當好人民財產“守護員”

農業銀行依托“智能＋人工”遠程服務模式，為客戶提供7×24小時遠程金融一站式防詐服務。>>詳細

【防詐騙】貸款騙局花樣多，識破套路不上當！

非法中介往往通過非法手段騙取用戶信息，利用低息大額、免費辦理、征信修復、材料美化等慣用招攬方式，設置貸款騙局，施以小恩小惠取得信任，同時索取更多的費用或占用貸款金額。>>詳細

共話電子簽約新趨勢 CFCA受邀出席2022金蝶中國生態行·廣州首站

在互聯網時代，數字化手段可以有效幫助企業節省時間與經濟成本，從而提升企業運營效率，助力企業高質量發展。其中，起用電子簽約是企業運營數字化轉型的重要方面。>>詳細

【小河講反洗錢】想掙個盒飯錢 怎么就“洗錢”啦！

買賣、租借電話卡、銀行卡均屬于違法行為，切勿將自己辦理的手機卡、個人銀行卡、對公賬戶及結算卡以及微信、支付寶等第三方支付平臺賬戶買賣、租賃給犯罪分子，否則將面臨信用懲戒、限制業務、嚴管賬戶、法律處分四大懲戒。>>詳細

【消保小劇場】本想放下手里的磚頭，走上暴富巔峰…

投資理財需認清正規持牌機構，綜合權衡個人或家庭的財務狀況、風險承受能力和預期收入、流動性需求等，選擇適當的金融產品和服 務，遠離非法金融活動！ >>詳細

“你的醫保已停用？”新型騙術！抓緊轉發更多人，千萬別被騙！

收到這類詐騙信息，千萬不要點擊鏈接！千萬別信！銀行不會以社?？ǖ狡跒橛梢罂蛻魪娭聘鼡Q三代社?？?。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年4月4日-10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞160個，其中高危漏洞65個、中危漏洞78個、低危漏洞17個。漏洞平均分值為6.17。上周收錄的漏洞中，涉及0day漏洞97個（占61%），其中互聯網上出現“Apache James Server遠程命令執行漏洞、WordPress插件Wappointment跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞升級權限。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-26764、CNVD-2022-26762、CNVD-2022-26761、CNVD-2022-26766、CNVD-2022-26765、CNVD-2022-26773、CNVD-2022-26771、CNVD-2022-26782）。其中，“Google Android權限提升漏洞（CNVD-2022-26766）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

F5產品安全漏洞

F5 BIG-IP是美國F5公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平臺。F5 BIG-IQ是美國F5公司的一套基于軟件的云管理解決方案。該方案支持跨公共和私有云、傳統數據中心和混合環境部署應用交付和網絡服務。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，執行未經授權的操作，導致拒絕服務等。

CNVD收錄的相關漏洞包括：F5 BIG-IP跨站腳本漏洞（CNVD-2022-26776、CNVD-2022-26778）、F5 BIG-IP輸入驗證錯誤漏洞（CNVD-2022-26839、CNVD-2022-26779）、F5 BIG-IP命令注入漏洞（CNVD-2022-26777）、F5 BIG-IQ訪問控制錯誤漏洞（CNVD-2022-26842）、F5 BIG-IP APM輸入驗證錯誤漏洞（CNVD-2022-26841）、F5 BIG-IP授權問題漏洞（CNVD-2022-26845）。其中，“F5 BIG-IQ訪問控制錯誤漏洞（CNVD-2022-26842）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda產品安全漏洞

Tenda AC9是中國騰達（Tenda）公司的一款無線路由器。上周，上述產品被披露存在命令注入和緩沖區溢出漏洞，攻擊者可利用漏洞導致任意命令執行。

CNVD收錄的相關漏洞包括：Tenda AC9命令注入漏洞（CNVD-2022-26241、CNVD-2022-26245）、Tenda AC9緩沖區溢出漏洞（CNVD-2022-26244、CNVD-2022-26243、CNVD-2022-26242、CNVD-2022-26246、CNVD-2022-26247）、Tenda AC6緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Delta Electronics產品安全漏洞

Delta Electronics DIAEnergie是一個工業能源管理系統，用于實時監控和分析能源消耗、計算能源消耗和負載特性、優化設備性能、改進生產流程并最大限度地提高能源效率。上周，上述產品被披露存在SQL注入漏洞，攻擊者可利用漏洞注入任意SQL查詢、檢索和修改數據庫內容以及執行系統命令。

CNVD收錄的相關漏洞包括：Delta Electronics DIAEnergie SQL注入漏洞（CNVD-2022-27435、CNVD-2022-27434、CNVD-2022-27438、CNVD-2022-27437、CNVD-2022-27436、CNVD-2022-27441、CNVD-2022-27440、CNVD-2022-27439）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Reolink Rlc-410W拒絕服務漏洞（CNVD-2022-27432）

Reolink Rlc-410W是中國Reolink公司的一款Wifi安全攝像頭。上周，Reolink RLC-410W存在拒絕服務漏洞。攻擊者可利用漏洞通過編制的HTTP請求，導致重新啟動。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在權限提升漏洞，攻擊者可利用漏洞升級權限。此外，F5、Tenda、Delta Electronics等多款產品被披露存在多個漏洞，攻擊者可利用漏洞執行未經授權的操作，注入任意SQL查詢、檢索和修改數據庫內容以及執行系統命令，導致拒絕服務等。另外，Reolink Rlc-410W被披露存在拒絕服務漏洞，攻擊者可利用漏洞通過編制的HTTP請求，導致重新啟動。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、公安部、中國農業銀行、中信銀行、河北銀行、桂林銀行金融服務、安徽農金電子銀行、微眾銀行報道

責任編輯：韓希宇