國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞603個，互聯網上出現“Tenda M3命令注入漏洞（CNVD-2022-33113）、MariaDB item_subselect.cc拒絕服務漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

防欺詐小課堂，謹防銀行卡POS機詐騙

隨著大眾對銀行卡使用頻率的不斷提高，POS機逐漸成為刷卡支付的必備工具之一。不少不法分子也開始盯上了POS機市場上存在的一些安全隱患，用各種手段獲取非法收益。>>詳細

【必看】以案說險，警惕以“疫”之名的騙局

中國光大銀行整理了一些借疫情防控名義詐騙的手段，教你快速識別這些小伎倆。>>詳細

【提示】跨境賭博嚴打擊，“十賭九輸”勿入坑

不明電話及時掛，可疑短信要辨清。不明鏈接不點擊，卡號密碼得保密。>>詳細

科普 | 全民反詐，謹防被騙

不要輕信網絡上“高傭金先墊付”等兼職工作,不要輕信沒有留固定電話和辦公地址的招聘廣告。>>詳細

疫情期間“人盾分離”怎么破？一張“云證書”打通企業財務全流程 ！

目前，多數銀行針對“人盾分離”的問題建立了應急方案，比如視頻連線核實真實財務需求等，有些銀行也會同意企業延期還貸的請求。>>詳細

揭開詐騙“新衣” 謹防借“疫”發財

交通銀行信用卡專家梳理當下新型涉疫詐騙手法，解析詐騙套路，提醒消費者提高防范意識，避免錢財損失。>>詳細

密評備案監管升級 網絡運營方該怎么做？

商用密碼應用安全性評估，指對采用商用密碼技術、產品和服務集成建設的網絡和信息系統密碼應用的合規性、正確性、有效性進行評估。>>詳細

警惕以虛擬貨幣為噱頭的騙局

廣大消費者要增強風險意識，樹立正確的投 資理念，不參與虛擬貨幣交易炒作活動，謹防個人財產及權益受損。>>詳細

【防范】警惕“校園貸”網絡詐騙

詐騙分子以“確認本人操作”，完成“資金核查”為由，要求受害者盡可能多地從其他APP借貸并轉賬到指定的“認證賬戶”，造成受害者巨額損失。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年4月25日-5月8日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞603個，其中高危漏洞189個、中危漏洞345個、低危漏洞69個。漏洞平均分值為5.92。上周收錄的漏洞中，涉及0day漏洞412個（占68%），其中互聯網上出現“Tenda M3命令注入漏洞（CNVD-2022-33113）、MariaDB item_subselect.cc拒絕服務漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，任意修改和設置系統屬性，升級權限等。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-32839、CNVD-2022-32843、CNVD-2022-32842、CNVD-2022-32844、CNVD-2022-34649）、Google Android信息泄露漏洞（CNVD-2022-32846）、Google Android安全繞過漏洞（CNVD-2022-32845）、Google Android TBD權限提升漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Fusion Middleware是一套面向企業和云環境的業務創新平臺。該平臺提供了中間件、軟件集合等功能。Oracle WebLogic Server是一款適用于云環境和傳統環境的應用服務中間件，它提供了一個現代輕型開發平臺，支持應用從開發到生產的整個生命周期管理，并簡化了應用的部署和管理。Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過多種協議進行網絡訪問，從而破壞MySQL Server，導致MySQL Server掛起或頻繁崩潰（拒絕服務）等。

CNVD收錄的相關漏洞包括：Oracle Fusion Middleware和Oracle WebLogic Server輸入驗證錯誤漏洞（CNVD-2022-33111）、Oracle MySQL輸入驗證錯誤漏洞（CNVD-2022-33780、CNVD-2022-33779）、Oracle MySQL Server拒絕服務漏洞（CNVD-2022-33991、CNVD-2022-33990、CNVD-2022-33992、CNVD-2022-33996、CNVD-2022-33995）。其中，“Oracle Fusion Middleware和Oracle WebLogic Server輸入驗證錯誤漏洞（CNVD-2022-33111）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP 3D Visual Enterprise Viewer是德國思愛普（SAP）公司的一款3D視圖查看器。該軟件支持在所有行業標準的桌面應用中發布2D、3D場景，并支持以獨立可執行程序和ActiveX空間單獨安裝。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致應用程序崩潰等。

CNVD收錄的相關漏洞包括：SAP 3D Visual Enterprise Viewer輸入驗證錯誤漏洞（CNVD-2022-33129、CNVD-2022-33128、CNVD-2022-33127、CNVD-2022-33126、CNVD-2022-33132、CNVD-2022-33131、CNVD-2022-33130）、SAP 3D Visual Enterprise Viewer越界寫入漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

Dell PowerScale OneFS是提供橫向擴展NAS的PowerScale OneFS操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上獲得提升的權限，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Dell PowerScale OneFS安全繞過漏洞（CNVD-2022-32806、CNVD-2022-32807）、Dell PowerScale OneFS拒絕服務漏洞（CNVD-2022-32805、CNVD-2022-32824、CNVD-2022-32826）、Dell PowerScale OneFS信息泄露漏洞（CNVD-2022-32834、CNVD-2022-32833）、Dell PowerScale OneFS權限提升漏洞（CNVD-2022-32838）。其中，“Dell PowerScale OneFS安全繞過漏洞（CNVD-2022-32806、CNVD-2022-32807）、Dell PowerScale OneFS權限提升漏洞（CNVD-2022-32838）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM QRadar SIEM信息泄露漏洞（CNVD-2022-34982）

IBM QRadar SIEM是美國IBM公司的一套利用安全智能保護資產和信息遠離高級威脅的解決方案。該方案提供對整個IT架構范圍進行監督、生成詳細的數據訪問和用戶活動報告等功能。上周，IBM QRadar SIEM被披露存在信息泄露漏洞。攻擊者可利用該漏洞獲取日志文件。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，任意修改和設置系統屬性，升級權限等。此外，Oracle、SAP、Dell等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上獲得提升的權限，導致應用程序崩潰等。另外，IBM QRadar SIEM披露存在信息泄露漏洞，攻擊者可利用該漏洞獲取日志文件。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行廣州分行、中國農業銀行微銀行、交通銀行、中國光大銀行、撫順銀行、廣州農村商業銀行報道

責任編輯：韓希宇