國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞383個，互聯網上出現“WordPress WP Contacts Manager SQL注入漏洞、Jfinal CMS SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

國家互聯網信息辦公室發布《互聯網用戶賬號信息管理規定》

建立健全并嚴格落實真實身份信息認證、賬號信息核驗、信息內容安全、生態治理、應急處置、個人信息保護等管理制度。>>詳細

【消?！肯？俊捌帧薄职?，我有一份禮物送給你~

保護征信記錄小貼士：及時還款，不要拖欠，理性消費，量入而出，身份證件，切勿外借。>>詳細

小發羊破大案！雪糕刺客算什么，這些“高科技”才是坑！

請廣大公眾理性看待區塊鏈、NFT項目及虛擬貨幣，不要盲目相信天花亂墜的承諾，樹立正確的貨幣觀念和投資理念,學習反詐知識，切實增強風險意識。>>詳細

銀聯云生態合作伙伴大會圓滿舉辦 CFCA專家暢談安全新策略

整體治理模型采用橫向分層、縱向分域的原則，從各個層級及過程的不同關注點出發，按照治理層、管理層、控制層的關注內容進行設計，通過數據安全治理，實現數據的價值，真正保障大數據時代的數據資源在安全可控的條件下得到最大化利用。>>詳細

騰訊安全副總裁黎?。憾嘧兊臉I態下需要更加普適性的監管科技底座

隨著“數實融合”的深入發展，各行業、各機構面臨的風險敞口不斷加大，數字技術的廣泛應用，引發了潛在的新型基礎設施安全、數據安全、金融科技安全、數字產業鏈安全、網絡市場安全等一系列新型安全問題。>>詳細

網上購物詐騙陷阱！你知道嗎？

網絡詐騙手段多，屏蔽拒絕是王道，陌生語音要留心，掃碼支付要當心，官方確認最重要，安心省心更放心。>>詳細

小鄭說消保|拒絕“貸款黑中介”

近年來，“貸款黑中介”不斷“改進”詐騙手段，通過五花八門的“服務”，抓住部分消費者“省錢占便宜”的心理，設置了形形色色的圈套。>>詳細

關注電子銀行安全 防范電信詐騙

在任何情況下，銀行、司法、稅務等單位不會向您索要電子銀行登錄密碼及動態口令。不要輕信以任何名義要求辦理手機銀行或通過手機銀行劃轉資金的來電或短信，任何問你要密碼的都是騙子。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年6月20日-26日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞383個，其中高危漏洞149個、中危漏洞202個、低危漏洞32個。漏洞平均分值為6.03。上周收錄的漏洞中，涉及0day漏洞290個（占76%），其中互聯網上出現“WordPress WP Contacts Manager SQL注入漏洞、Jfinal CMS SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Acrobat是一套PDF文件編輯和轉換工具。Adobe Acrobat Reader是一款PDF查看器。Adobe Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：多款Adobe產品資源管理錯誤漏洞（CNVD-2022-46965、CNVD-2022-46966、CNVD-2022-46971、CNVD-2022-46970、CNVD-2022-46972、CNVD-2022-46977、CNVD-2022-46976、CNVD-2022-46975）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限升級，文件選擇器中的遠程持續拒絕服務等。

CNVD收錄的相關漏洞包括：Google Android緩沖區溢出漏洞（CNVD-2022-46292、CNVD-2022-46298、CNVD-2022-46301、CNVD-2022-46294、CNVD-2022-46293）、Google Android拒絕服務漏洞（CNVD-2022-46296、CNVD-2022-46290）、Google Android越界寫入漏洞（CNVD-2022-46299）。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Planning Analytics是美國IBM公司的一套業務規劃分析解決方案。該方案支持自動化執行業務規劃、預算和分析等流程。IBM Security Identity Manager（ISIM）是一套身份管理和治理解決方案。IBM UrbanCode Deploy（UCD）是一套應用自動化部署工具。IBM Security Guardium是一套提供數據保護功能的平臺。IBM System Storage DS8000 Hardware Management Console是一個IBM存儲介質平臺DS8000的硬件管理控制臺。IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和關系的軟件。IBM Aspera是一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，上傳任意可執行文件，導致代碼執行，造成拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Planning Analytics任意文件上傳漏洞、IBM Security Identity Manager緩沖區溢出漏洞（CNVD-2022-46305）、IBM UrbanCode Deploy權限提升漏洞（CNVD-2022-46304）、IBM Security Guardium信息泄露漏洞（CNVD-2022-46310）、IBM Planning Analytics服務端請求偽造漏洞、IBM System Storage DS8000 Hardware Management Console信息泄露漏洞、IBM Sterling B2B Integrator跨站請求偽造漏洞(CNVD-2022-46459)、IBM Aspera High-Speed Transfer信息泄露漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Embedded Wireless Controller是美國思科（Cisco）公司的一個無線接入器。Cisco SD-WAN vManage Software是一款用于SD-WAN（軟件定義廣域網絡）解決方案的管理軟件。Cisco Virtualized Infrastructure Manager是一個完全自動化的云生命周期管理系統。Cisco Wireless LAN Controller（WLC）是一款無線局域網控制器產品。Cisco SD-WAN vManage Software是一款用于SD-WAN（軟件定義廣域網絡）解決方案的管理軟件。Cisco Catalyst Digital Building Series Switches是一系列數字樓宇交換機。Cisco Iox是一個結合了Cisco IOS和Linux OS用于安全網絡連接以及開發IOT應用的安全開發環境。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致設備重新加載，以受影響用戶的權限級別執行任意操作，訪問機密信息并提升受影響設備的權限等。

CNVD收錄的相關漏洞包括：Cisco Embedded Wireless Controller拒絕服務漏洞、Cisco SD-WAN vManage Software跨站請求偽造漏洞、Cisco Virtualized Infrastructure Manager訪問控制錯誤漏洞、Cisco Wireless LAN Controller身份驗證繞過漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2022-46480）、Cisco Catalyst Digital Building Series Switches and Cisco Catalyst Micro Switches拒絕服務漏洞、Cisco Iox路徑遍歷漏洞、Cisco Iox拒絕服務漏洞。其中，“Cisco Embedded Wireless Controller拒絕服務漏洞、Cisco Wireless LAN Controller身份驗證繞過漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress Domain Replace plugin跨站腳本漏洞

WordPress和WordPress plugin都是WordPress基金會的產品。WordPress是一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是一個應用插件。上周，WordPress Domain Replace plugin被披露存在跨站腳本漏洞。攻擊者可利用該漏洞導致反射跨站點腳本攻擊。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。此外，Google、IBM、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，上傳任意可執行文件，導致代碼執行，拒絕服務，本地權限升級等。另外，WordPress Domain Replace plugin被披露存在跨站腳本漏洞。攻擊者可利用漏洞導致反射跨站點腳本攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、網信中國、每日經濟新聞、廣發銀行、浦發銀行、鄭州銀行、杭州銀行微訊、江西銀行報道

責任編輯：韓希宇