國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞385個，互聯網上出現“Fast Food Ordering System SQL注入漏洞、Product Show Room Site SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

金融知識“萬里行” | 防范電信網絡詐騙 這些要點你要知道

“三不一多”謹遵原則：未知鏈接不點擊，陌生來電不輕信，個人信息不透露，轉賬匯款多核實。>>詳細

【消保小講堂】守住錢袋子，了解存款保險

根據《存款保險條例》，在規定情形下， 同一存款人在同一家機構的存款本息合計金額在人民幣50萬元以內，存款保險實行全額償付。>>詳細

App新規下月施行！如何高效開展在線實名認證？

CFCA網絡身份認證平臺已持續多年高效穩定運營，為多家國有大行、大型企事業單位，多地工商行政管理局及住房公積金管理中心提供在線身份認證服務。>>詳細

App用戶數據泄露頻上熱搜 “指尖上的安全”如何守護？

數據安全體系的建立更是一個日積月累，不斷完善的過程，如若前期輕易削減安全投入，則會在用戶量上升和數據量膨脹的后期引發難以想象的額外成本支出。>>詳細

【消?！客顿Y理財好選擇，“浦”惠共盈老年專題

很多老年人不會上網，信息相對閉塞，遇到話術高超的理財產品業務員，很容易被忽悠。因此，做出投資決策前要和子女、家人多溝通交流，請他們利用網絡等媒介對所投項目進行調查，一定要了解投資的是什么、投資過程中有 哪些風險及所投公司的歷史背景。>>詳細

防騙|又出新招數？高仿賬號詐騙教你來辨別！

“好友”求助要謹慎，“官方”賬號細辨別，擦亮雙眼，讓高仿賬號無處遁形~>>詳細

【消保以案說險】非法代理維權騙局

各位消費者應樹立正確的金融消費觀念，量入為出，理性借貸。發生金融糾紛時，可先與金融機構積極協商，金融機構和監管部門都設有暢通的投訴受理渠道，一定要通過正規渠道反映訴求，依法合理維權。>>詳細

第三方平臺理財銷售已被禁、有償薦股多為騙局 微信公眾平臺嚴禁這四大金融類營銷行為

針對欺詐、不實、誤導、無資質四方面金融類營銷宣傳行為，微信公眾平臺運營中心今日發布《關于金融類違規營銷內容的規范》。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年7月4日-7月10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞385個，其中高危漏洞107個、中危漏洞236個、低危漏洞42個。漏洞平均分值為5.90。上周收錄的漏洞中，涉及0day漏洞279個（占72%），其中互聯網上出現“Fast Food Ordering System SQL注入漏洞、Product Show Room Site SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。Adobe InCopy是美國Adobe公司的一款用于創作的文本編輯軟件。Adobe Animate是美國奧多比（Adobe）公司的一套Flash動畫制作軟件。Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Bridge越界寫入漏洞（CNVD-2022-50224）、Adobe InDesign堆緩沖區溢出漏洞（CNVD-2022-50228）、Adobe InCopy越界寫入漏洞（CNVD-2022-50232、CNVD-2022-50231、CNVD-2022-50230）、Adobe Animate越界寫入漏洞（CNVD-2022-50234）、Adobe Photoshop越界寫入漏洞（CNVD-2022-50238、CNVD-2022-50239）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Cognos Controller是美國IBM公司的一套商業智能與計劃解決方案。該產品具有流程自動化、財務審計控制、創建和管理財務報告等功能。IBM Security Verify Access（ISAM）是美國IBM公司的一款提高用戶訪問安全的服務。該服務通過使用基于風險的訪問、單點登錄、集成訪問管理控制、身份聯合以及移動多因子認證實現對Web、移動、IoT 和云技術等平臺安全簡單的訪問。IBM App Connect Enterprise是美國IBM公司的一個操作系統。IBM App Connect Enterprise將現有業界信任的IBM Integration Bus技術與IBM App Connect Professional以及新的云本機技術進行了組合，提供一個可滿足現代數字企業全面集成需求的平臺。IBM Sterling Partner Engagement Manager是美國IBM公司的一個自動化管理工具。IBM AIX是美國IBM公司的一款為IBM Power體系架構開發的一種基于開放標準的UNIX操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息或可能更改某些信息，導致拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：IBM Cognos Controller授權問題漏洞（CNVD-2022-48940、CNVD-2022-48941）、IBM Security Verify Access輸入驗證錯誤漏洞、IBM App Connect Enterprise Certified Container拒絕服務漏洞、IBM Sterling Partner Engagement Manager信息泄露漏洞、IBM AIX拒絕服務漏洞（CNVD-2022-48944、CNVD-2022-48943、CNVD-2022-48942）。其中，“IBM Cognos Controller授權問題漏洞（CNVD-2022-48940、CNVD-2022-48941）、IBM AIX拒絕服務漏洞（CNVD-2022-48944）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼。

CNVD收錄的相關漏洞包括：Google Chrome WebRTC遠程代碼執行漏洞、Google Android權限提升漏洞（CNVD-2022-50272、CNVD-2022-50271、CNVD-2022-50276、CNVD-2022-50274、CNVD-2022-50273）、Google Android信息泄露漏洞（CNVD-2022-50275、CNVD-2022-50278）。其中，“Google Chrome WebRTC遠程代碼執行漏洞、Google Android權限提升漏洞（CNVD-2022-50272、CNVD-2022-50274）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Unified Communications Manager（CUCM，Unified CM，CallManager）是美國思科（Cisco）公司的一款統一通信系統中的呼叫處理組件。Unified Communications Manager Session Management Edition是Unified Communications Manager的會話管理版。Cisco Unity Connection是一套語音留言平臺。該平臺可利用語音命令，以免提方式撥打電話或收聽留言。Cisco AppDynamics Controller是美國思科（Cisco）公司的通過跨高度分布式應用程序環境的精確跟蹤和分析來監控和分析全棧數據。Cisco Smart Software Manager On-Prem是一款用于Cisco產品許可證管理的組件。Cisco Smart Software Manager是一個為用于提供許可證智能管理功能的軟件。該軟件消除了繁瑣的產品激活密鑰（PAK）和許可證文件管理，使許可證節點不再鎖定到設備，可以支持任何兼容的設備上使用許可證。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取主機上的任意文件，獲取敏感信息，并在易受攻擊的用戶瀏覽器中執行任意HTML和腳本代碼，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Cisco Unified Communications Manager任意文件讀取漏洞（CNVD-2022-50625、CNVD-2022-50631）、Cisco Unified Communications Manager跨站腳本漏洞（CNVD-2022-50628、CNVD-2022-50630）、Cisco Unified Communications Manager和Cisco Unity Connection信息泄露漏洞、Cisco Unified Communications Manager訪問控制錯誤漏洞、Cisco AppDynamics Controller授權問題漏洞、Cisco Smart Software Manager On-Prem和Cisco Smart Software Manager資源管理錯誤漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Jenkins Agent Server Parameter Plugin跨站腳本漏洞（CNVD-2022-49787）

Jenkins和Jenkins Plugin都是Jenkins開源的產品。Jenkins是一個應用軟件。一個開源自動化服務器Jenkins提供了數百個插件來支持構建，部署和自動化任何項目。Jenkins Plugin是一個應用軟件。上周，Jenkins Agent Server Parameter Plugin被披露存在跨站腳本漏洞。該漏洞源于未在顯示參數的視圖上對Agent Server參數的名稱和描述進行轉義，攻擊者可利用該漏洞在客戶端執行JavaScript代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。此外，IBM、Google、Cisco等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，讀取主機上的任意文件，獲取敏感信息，執行任意代碼，導致拒絕服務攻擊等。另外，Jenkins Agent Server Parameter Plugin被披露存在跨站腳本漏洞。攻擊者可利用該漏洞在客戶端執行JavaScript代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、證券日報、財聯社、中國銀行、浦發銀行、廣東農信、桂林銀行金融服務報道

責任編輯：韓希宇