國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞531個，互聯網上出現“TP-Link TL-WR841N跨站腳本漏洞、Online Diagnostic Lab Management System SQL注入漏洞（CNVD-2023-04335）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

小心有“詐”，反詐秘笈幫你通關！

遇到“熟人”以各種理由讓你轉賬，一定要直接找到當事人了解情況，確定本人操作及真實情況后，再做決定?？傊?，遇到任何涉及大金額金錢交易的情況，務必直接電聯對方，問清情況確認無誤。>>詳細

“高額回報”多騙局，投資加盟需謹慎

不要過于相信招商廣告，加盟需要仔細考察，深入交流，不要被夸大的經營利潤迷惑雙眼，落入“高收益、無風險”的圈套。>>詳細

熟知春節電詐套路 警惕新年網絡陷阱

姣姣在此提醒大家，提高安全意識，警惕網絡陷阱，防范未然，見招拆招！>>詳細

普及|開工返程，這些詐騙陷阱要警惕！

返崗開工切記這“三不”：不輕信陌生人的電話、短信，不點擊不明鏈接，不隨意安裝來源不明的軟件，警惕電信詐騙，保護“錢袋子”。>>詳細

反詐預警！春節后謹防詐騙回潮！

被害人防騙意識薄弱是多數電信網絡詐騙最終得逞的直接原因，因此提高大家的防范意識及自我保護能力，是防騙避損的核心應對之策。>>詳細

【以案說險】金融消費者如何防范非法代理維權

一些不法分子以“代理退?！薄按砭S權”名義招攬生意，聲稱可幫助消費者“全額退?！毙迯驼餍拧薄敖鉀Q債務”“全額免息”，慫恿或誘騙消費者委托其辦理退保，免息等事項。>>詳細

【消?！苛私鈧€人信用報告 保持良好征信記錄

個人信用報告是一個人的“經濟身份證”，是個人信用歷史的客觀記錄，小到分期購物、信用卡審批、銀行貸款申請，大到任職資格審查、企業融資、商務合作都需要用到它。>>詳細

【消保小講堂】謹防虛假游戲交易詐騙

在互聯網上交易游戲裝備或游戲賬號時，一定要使用游戲官方經營或授權的平臺進行交易，避免在不規范的平臺進行交易，造成財產損失。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年1月16日-29日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞531個，其中高危漏洞255個、中危漏洞242個、低危漏洞34個。漏洞平均分值為6.55。上周收錄的漏洞中，涉及0day漏洞410個（占77%），其中互聯網上出現“TP-Link TL-WR841N跨站腳本漏洞、Online Diagnostic Lab Management System SQL注入漏洞（CNVD-2023-04335）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apache產品安全漏洞

Apache OFBiz是美國阿帕奇（Apache）基金會的一套企業資源計劃（ERP）系統。該系統提供了一整套基于Java的Web應用程序組件和工具。Apache Traffic Server（ATS）是一套可擴展的HTTP代理和緩存服務器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞請求安全資源，執行任意代碼等。

CNVD收錄的相關漏洞包括：Apache OFBiz代碼注入漏洞（CNVD-2023-03919、CNVD-2023-03918）、Apache OFBiz代碼問題漏洞（CNVD-2023-03920）、Apache Traffic Server輸入驗證錯誤漏洞（CNVD-2023-03923、CNVD-2023-03927、CNVD-2023-03926、CNVD-2023-03925、CNVD-2023-03924）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google TensorFlow是美國谷歌（Google）公司的一套用于機器學習的端到端開源平臺。Google Chrome是一款Web瀏覽器。Google Android是一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，提升權限，在系統上執行任意代碼，導致越界內存讀取或崩潰等。

CNVD收錄的相關漏洞包括：Google TensorFlow緩沖區溢出漏洞（CNVD-2023-03935、CNVD-2023-03936）、Google Chrome安全繞過漏洞（CNVD-2023-04547）、Google Android權限提升漏洞（CNVD-2023-04551、CNVD-2023-04552、CNVD-2023-04553）、Google Chrome Forms代碼執行漏洞、Google Chrome Extensions代碼執行漏洞（CNVD-2023-04555）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞使腳本在無效對象狀態下執行導致繞過安全限制，執行任意代碼，造成瀏覽器崩潰等。

CNVD收錄的相關漏洞包括：Mozilla Firefox緩沖區溢出漏洞（CNVD-2023-03061、CNVD-2023-03062、CNVD-2023-03064、CNVD-2023-03066）、Mozilla Firefox資源管理錯誤漏洞（CNVD-2023-03067、CNVD-2023-03063）、Mozilla Firefox代碼問題漏洞（CNVD-2023-03065）、Mozilla Firefox訪問控制錯誤漏洞（CNVD-2023-03068）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Host Agent是德國思愛普（SAP）公司的一套支持操作系統監視、數據庫監視和系統實例監視等多項生命周期管理任務的代理程序。SAP BusinessObjects Business Intelligence Platform是一款完備的商務分析平臺。該平臺集市場領先的 SAP 數據整合產品、數據管理產品和商務智能 (BI) 產品于一身，可消除系統集成難題，快速、輕松地部署高性能的商務分析軟件。SAP NetWeaver AS是一款SAP網絡應用服務器。它不僅能提供網絡服務，且還是SAP軟件的基本平臺。SAP Bank Account Management是一個銀行賬戶管理系統。SAP BPC MS是一個業務規劃與整合應用程序。提供規劃、預算、預測和財務合并功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行非法SQL命令竊取數據庫敏感數據，導致跨站腳本攻擊，任意代碼執行等。

CNVD收錄的相關漏洞包括：SAP Host Agent訪問控制錯誤漏洞、SAP BusinessObjects Business Intelligence Platform跨站腳本漏洞（CNVD-2023-03049）、SAP BusinessObjects Business Intelligence Platform CMC application跨站腳本漏洞、SAP NetWeaver AS訪問控制錯誤漏洞、SAP Bank Account Management信息泄露漏洞、SAP BusinessObjects Analysis(Edition For Olap)代碼注入漏洞、SAP BPC MS SQL注入漏洞、SAP NetWeaver Application Server跨站腳本漏洞（CNVD-2023-04301）。其中，“SAP BusinessObjects Business Intelligence Platform CMC application跨站腳本漏洞、SAP NetWeaver AS訪問控制錯誤漏洞、SAP BusinessObjects Analysis(Edition For Olap)代碼注入漏洞、SAP BPC MS SQL注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress plugin LetsRecover SQL注入漏洞

WordPress和WordPress plugin都是WordPress基金會的產品。WordPress是一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。WordPress plugin是一個應用插件。上周，WordPress plugin LetsRecover被披露存在SQL注入漏洞。攻擊者可利用該漏洞獲取數據庫敏感信息。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apache產品被披露存在多個漏洞，攻擊者可利用漏洞請求安全資源，執行任意代碼等。此外，Google、Mozilla、SAP等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制，提升權限，在系統上執行任意代碼，導致越界內存讀取，跨站腳本攻擊或崩潰等。另外，WordPress plugin LetsRecover被披露存在SQL注入漏洞。攻擊者可利用該漏洞獲取數據庫敏感信息。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、交通銀行、中國郵政儲蓄銀行、中信銀行、遇見浦發、渤海銀行、桂林銀行金融服務、江西轄內農商銀行、廣東農信報道

責任編輯：韓希宇