國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞548個，互聯網上出現“PESCMS跨站請求偽造漏洞（CNVD-2022-56093）、Online Fire Reporting System跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【消?！侩娦旁p騙花樣多，如何守護錢袋安全？

接到自稱電商、物流客服電話，務必到官方平臺進行核實，不明鏈接切不可隨意點擊！>>詳細

了解以下風險提示 護好您的錢袋子

日在互聯網移動支付平臺轉賬匯款時如果出現“風險提醒”頁面，就說明當前所支付的賬戶可能存在風險。>>詳細

【速轉】7種“銀發一族”最易陷入的騙局，千萬別信

養老詐騙變化多端、防不勝防，如何快速讓老人記住防騙技巧?7個新“成語”為您揭秘“銀發一族"最易陷入的幾種騙局。>>詳細

打工俠vs黑客，掌握這幾招，辦公網絡安全穩了！

牢記五條反黑秘籍，加碼辦公網絡安全。>>詳細

安全小課堂 | 買家下單后，發生了不可思議的事！

近來詐騙分子開始將目標鎖定那些開網店的店家，還有一些二手貨交易平臺(如閑魚、拍拍網等)的賣家，小伙伴們要警惕壞人偽裝成"熱情買家”并且要求線下交易的情況。>>詳細

CFCA安全檢測服務 為金融領域人臉識別活體檢測算法保駕護航

近年來，CFCA在人工智能、多方安全計算、區塊鏈、聯邦學習等領域積極布局，擁有多項金融行業授權資質，參與國家和金融行業技術標準和檢測標準的制定，持續加大投入并與產業各方廣泛合作，為金融行業提供適用于人臉識別活體檢測算法的專業安全檢測。>>詳細

【防騙】謹防“假利息”變“真貸款”，揭秘大額保險復投騙局

不要輕易將業務交由工作人員一手代辦，確需對方代勞時，千萬在旁全程“緊盯”。>>詳細

【反詐拒賭 支付在行動】關注重點人群，警銀協作攔電詐

老年人子女應多學習、了解電信網絡詐騙新型手法，多與老年人分享當前犯罪分子典型的作案手段、受騙后的補救措施等內容。>>詳細

【以案說險】保護個人信息，防范電信詐騙

要在銀行網點或正規渠道下載手機客戶端，切勿輕信未經認證的軟件市場，或是論壇、短信里的下載鏈接，不要隨意點擊。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年8月8日-14日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞548個，其中高危漏洞158個、中危漏洞300個、低危漏洞90個。漏洞平均分值為5.60。上周收錄的漏洞中，涉及0day漏洞275個（占50%），其中互聯網上出現“PESCMS跨站請求偽造漏洞（CNVD-2022-56093）、Online Fire Reporting System跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM PowerVM VIOS是美國萬國商業機器（IBM）的一個位于邏輯分區中的軟件。該軟件有助于在服務器內的客戶端邏輯分區之間共享物理 I/O 資源。IBM Security Verify Information Queue是美國IBM公司的一個集成產品。利用 Kafka 技術和發布/訂閱模型來集成 IBM Security 產品之間的數據。IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產品?？蓭椭詡鹘y RPA 的輕松和速度大規模自動化更多業務和 IT 流程。IBM QRadar Network Security是美國IBM公司的一個網絡安全管理器。用于提供對網絡上的活動和用戶的更好的可見性和控制，同時使用深度數據包檢查、啟發式和基于行為的分析來檢測和預防高級威脅。IBM Spectrum Protect Operations Center是美國IBM公司的一個為IBM Spectrum Protect環境提供可視化控制的軟件。IBM CICS TX Advanced是美國IBM公司的一個綜合的、單一的事務運行時包?？梢詾楠毩贸绦蛱峁┰圃渴鹉Ｐ?。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞偽造惡意請求誘騙受害者點擊執行敏感操作，可以獲得登錄訪問令牌,篡改系統配置或導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM PowerVM VIOS拒絕服務漏洞、IBM Security Verify Information Queue跨站請求偽造漏洞（CNVD-2022-55633）、IBM Robotic Process Automation訪問控制錯誤漏洞、IBM QRadar Network Security信任管理問題漏洞、IBM QRadar Network Security信息泄露漏洞（CNVD-2022-55637）、IBM Spectrum Protect Operations Center暴力破解漏洞、IBM Robotic Process Automation信息泄露漏洞（CNVD-2022-55663）、IBM CICS TX Advanced訪問控制錯誤漏洞。其中，“IBM PowerVM VIOS拒絕服務漏洞、IBM Spectrum Protect Operations Center暴力破解漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe InCopy是美國Adobe公司的一款用于創作的文本編輯軟件。Adobe Acrobat和Adobe Reader都是美國奧多比（Adobe）公司的產品。Adobe Acrobat是一套PDF文件編輯和轉換工具。Adobe Reader是一套PDF文檔閱讀軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制數據可以觸發超過分配緩沖區末尾的寫入，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe InCopy緩沖區溢出漏洞（CNVD-2022-55642、CNVD-2022-55644）、Adobe Acrobat和Adobe Reader資源管理錯誤漏洞（CNVD-2022-56090、CNVD-2022-56092、CNVD-2022-56258）、Adobe Acrobat和Adobe Reader緩沖區溢出漏洞（CNVD-2022-56132、CNVD-2022-56130、CNVD-2022-56133）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Simcenter STAR-CCM+是一個多物理計算流體動力學（CFD）軟件，用于模擬在真實世界條件下運行的產品。SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224工業路由器用于通過移動網絡（如GPRS或UMTS）安全遠程訪問工廠，并具有防火墻的集成安全功能，以防止未經授權的訪問，以及VPN來保護數據傳輸。SCALANCE SC-600設備（SC622-2C、SC632-2C、SC636-2C，SC642-2C、SC646-2C）用于保護受信任的工業網絡免受不受信任的網絡攻擊。它們允許以不同的方式過濾傳入和傳出網絡連接。SCALANCE W-1700產品是基于IEEE 802.11ac標準的無線通信設備。SCALANCE W-700產品是基于IEEE 802.11ax標準的無線通信設備。SCALANCE X switches用于連接工業部件，如可編程邏輯控制器（PLC）或人機接口（HMI）。Siemens Comos是德國西門子（Siemens）公司的一個工廠工程軟件解決方案。用于過程工業。Siemens Syngo FastView是德國西門子（Siemens）公司的一個Dicom交換媒體上提供的Dicom 2圖像的獨立查看器。Teamcenter軟件是一個現代化的、適應性強的產品生命周期管理 (PLM) 系統，它通過數字線程將人員和流程跨功能孤島連接起來，以實現創新。SICAM A8000 RTU（遠程終端裝置）系列是一個模塊化設備系列，適用于所有能源供應領域的遠程控制和自動化應用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從組件（如內部網絡拓撲或連接的系統）檢索調試級別信息，執行遠程代碼，造成拒絕服務情況等。

CNVD收錄的相關漏洞包括：Siemens Teamcenter命令注入漏洞、Siemens Teamcenter拒絕服務漏洞、Siemens SICAM A8000 Web Server Module身份驗證繞過漏洞、Siemens Simcenter STAR-CCM+信息泄露漏洞、Siemens SCALANCE產品命令注入漏洞、Siemens Comos代碼問題漏洞、Siemens Syngo FastView越界寫入漏洞（CNVD-2022-56511、CNVD-2022-56512）。其中，“Siemens Teamcenter命令注入漏洞、Siemens Teamcenter拒絕服務漏洞、Siemens SCALANCE產品命令注入漏洞、Siemens Syngo FastView越界寫入漏洞（CNVD-2022-56511、CNVD-2022-56512）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

JetBrains產品安全漏洞

JetBrains TeamCity是捷克JetBrains公司的一套分布式構建管理和持續集成工具。該工具提供持續單元測試、代碼質量分析和構建問題分析報告等功能。JetBrains IntelliJ IDEA是捷克Jetbrains公司的一套適用于Java語言的集成開發環境。JetBrains Rider是捷克Jetbrains公司的一套跨平臺的.NET集成開發環境（IDE）。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，通過自定義JSON模式中的HTML描述執行本地代碼等。

CNVD收錄的相關漏洞包括：JetBrains TeamCity日志信息泄露漏洞、JetBrains TeamCity跨站腳本漏洞（CNVD-2022-55670）、JetBrains IntelliJ IDEA代碼注入漏洞（CNVD-2022-55675、CNVD-2022-55674、CNVD-2022-55680、CNVD-2022-55681）、JetBrains IntelliJ IDEA跨站腳本漏洞、JetBrains Rider代碼注入漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Tenda M3 formMasterMng函數堆棧溢出漏洞

Tenda M3是中國騰達（Tenda）公司的一款門禁控制器。上周，Tenda M3被披露存在函數堆棧溢出漏洞。攻擊者可利用該漏洞導致拒絕服務攻擊。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞偽造惡意請求誘騙受害者點擊執行敏感操作，可以獲得登錄訪問令牌, 篡改系統配置或導致拒絕服務等。此外，Adobe、Siemens、JetBrains等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制數據可以觸發超過分配緩沖區末尾的寫入，在系統上執行任意代碼，導致拒絕服務等。另外，Tenda M3被披露存在堆棧溢出漏洞。攻擊者可利用該漏洞導致拒絕服務攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國建設銀行、中國郵政儲蓄銀行、中信銀行、浦發銀行、河北銀行、貴陽銀行、杭州銀行微訊報道

責任編輯：韓希宇