國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞347個，互聯網上出現“SourceCodester Bank Management System SQL注入漏洞、Social Codia SMS任意文件上傳漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【金融科普】信用卡安全用卡篇

信用卡僅限本人使用。應妥善保管卡片及密碼，不要出租或外借他人使用，避免造成經濟損失。>>詳細

金融知識普及月｜識破非法集資四大風險點，老年人守好自己“錢袋子”安全

廣東某保險機構提醒廣大老年人注意，應著力提升防范非法集資的意識和能力，維護好自身的合法權益，守好自己的“錢袋子”安全。>>詳細

“反詐小劇場”番劇更新！擦亮雙眼，守護資金安全！

騙子騙錢手段多，資金轉移方式五花八門，光大er努力練就火眼金睛，守護小伙伴們的資金安全，讓騙子無處遁形！>>詳細

【金融科普】誘騙泄露個人信息需警惕！

陌生網址不要點！陌生信息不要回！有事找工行！官方客服幫您忙！>>詳細

鯉想金融小課堂：電信詐騙常見套路

尋找兼職要通過正規渠道進行，需要交納定金或先行墊付資金的工作，務必要謹慎對待。>>詳細

【金融知識普及】以案說險

出借自己的銀行卡會涉及洗錢，出借信用卡會涉及妨害信用卡管理進而承擔刑事責任。所以千萬不要出借出售自己的銀行卡! >>詳細

后疫情時代 CFCA引領多領域云端協同簽名加密新實踐

銀企云不依靠企業部署硬件設備來維護密鑰和簽名安全，而是通過采用密鑰分散技術和協同簽名技術，以軟件平臺形式保證了密鑰安全和業務信息安全傳輸。>>詳細

【金融知識普及】老年人“七”注意

老年人，要謹記，遇到事，多問問，避免上當，損失錢財。專業人員要看清，正規機構才靠譜。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年9月12日-18日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞347個，其中高危漏洞146個、中危漏洞151個、低危漏洞50個。漏洞平均分值為6.02。上周收錄的漏洞中，涉及0day漏洞236個（占68%），其中互聯網上出現“SourceCodester Bank Management System SQL注入漏洞、Social Codia SMS任意文件上傳漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Samsung產品安全漏洞

Samsung SMR是韓國三星（Samsung）公司的一個系統補丁包。提供了三星手機應用的補丁程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞啟動某些活動，進行越界寫入，執行代碼等。

CNVD收錄的相關漏洞包括：Samsung SMR輸入驗證錯誤漏洞（CNVD-2022-63630、CNVD-2022-63647）、Samsung SMR緩沖區溢出漏洞（CNVD-2022-63652）、Samsung SMR堆緩沖區溢出漏洞（CNVD-2022-63631、CNVD-2022-63655、CNVD-2022-63658、CNVD-2022-63656、CNVD-2022-63659）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Spectrum Scale是美國IBM公司的一套基于IBM GPFS（專為PB級存儲管理而優化的企業文件管理系統）的可擴展的數據及文件管理解決方案。該產品支持幫助客戶減少存儲成本，同時提高云、大數據和分析環境中的安全性和管理效率等。IBM i是一套運行在IBM Power Systems和IBM PureSystems中的操作系統。IBM Aspera是一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。IBM Sterling Secure Proxy是一個用于確保組織非保護區(DMZ)中文件安全傳輸的應用程序代理。IBM Security Identity Governance and Intelligence（IGI）是的一套身份治理解決方案。該產品包括生命周期管理、訪問風險評估和身份認證管理等功能。IBM Robotic Process Automation是一種機器人流程自動化產品?？蓭椭詡鹘y RPA 的輕松和速度大規模自動化更多業務和IT流程。IBM InfoSphere Information Server是一套數據整合平臺。該平臺可用于整合各種渠道獲取的數據信息。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞進行未授權訪問，在URL參數中獲取敏感信息，導致拒絕服務，執行任意命令等。

CNVD收錄的相關漏洞包括：IBM i SQL注入漏洞（CNVD-2022-63180）、IBM Aspera訪問控制錯誤漏洞、IBM Sterling Secure Proxy信任管理問題漏洞、IBM Security Identity Governance and Intelligence信息泄露漏洞（CNVD-2022-63183）、IBM Robotic Process Automation SQL注入漏洞、IBM InfoSphere Information Server命令執行漏洞、IBM Sterling External Authentication Server和IBM Sterling Secure Proxy拒絕服務漏洞、IBM Spectrum Scale加密問題漏洞（CNVD-2022-63371）。其中，“IBM Robotic Process Automation SQL注入漏洞、IBM InfoSphere Information Server命令執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Parasolid是一種3D幾何建模工具，支持各種技術，包括實體建模、直接編輯和自由曲面/片材建模。Simcenter Femap是一種高級仿真應用程序，用于創建、編輯和檢查復雜產品或系統的有限元模型。上周，上述產品被披露存在越界寫入漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Siemens Simcenter Femap and Parasolid越界寫入漏洞（CNVD-2022-62982、CNVD-2022-62980、CNVD-2022-62979、CNVD-2022-62985、CNVD-2022-62984、CNVD-2022-62983、CNVD-2022-62986、CNVD-2022-62990）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Adaptive Server Enterprise（ASE）是德國思愛普（SAP）公司的一款關系型數據庫服務器。SAP Cloud Connector是一款用于連接SAP云平臺的連接器。SAP NetWeaver Application Server是一款應用程序服務器。SAP Mobile Platform是用于構建和部署移動app的便于用戶連接的平臺。SAP NetWeaver是一套面向服務的集成化應用平臺。該平臺可為SAP應用提供開發和運行環境。SAP Enterprise Portal是一個應用軟件。一個綜合性的集成和應用程序平臺，可促進跨組織和技術邊界的人員、信息和業務流程的一致性。SAP SAPCAR是一款用于壓縮和/或解壓縮SAP存檔文件的實用程序。SAP Focused Run是一個數據中心和大客戶系統運維管理方案(高容量監控，警報，診斷和分析的終極解決方案)。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過證書認證，通過路徑遍歷進行代碼注入從而訪問文件或目錄，在客戶端執行JavaScript代碼，將自己的權限提升為本地Unix系統上的root權限等。

CNVD收錄的相關漏洞包括：SAP Adaptive Server Enterprise權限提升漏洞、SAP Cloud Connector信任管理問題漏洞、SAP Cloud Connector路徑遍歷漏洞、SAP NetWeaver Application Server跨站腳本漏洞（CNVD-2022-63625）、SAP Mobile Platform SDK資源管理錯誤漏洞、SAP NetWeaver Enterprise Portal跨站腳本漏洞（CNVD-2022-63628）、SAP SAPCAR存在輸入驗證錯誤漏洞、SAP Focused Run訪問控制錯誤漏洞。其中，“SAP Adaptive Server Enterprise權限提升漏洞、SAP SAPCAR存在輸入驗證錯誤漏洞、SAP Focused Run訪問控制錯誤漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda AX12跨站請求偽造漏洞（CNVD-2022-63551）

Tenda AX12是中國騰達（Tenda）公司的一款雙頻千兆Wifi 6無線路由器。上周，Tenda AX12 V22.03.01.21_CN被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞偽造惡意請求誘騙受害者點擊執行敏感操作。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Samsung產品被披露存在多個漏洞，攻擊者可利用漏洞啟動某些活動，進行越界寫入，執行代碼等。此外，IBM、Siemens、SAP等多款產品被披露存在多個漏洞，攻擊者可利用漏洞進行未授權訪問，繞過證書認證，導致拒絕服務，執行任意命令等。另外，Tenda AX12 V22.03.01.21_CN被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞偽造惡意請求誘騙受害者點擊執行敏感操作。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國工商銀行、財富光大、廊坊銀行、泉州銀行報道

責任編輯：韓希宇