國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞345個，互聯網上出現“PbootCMS SQL注入漏洞（CNVD-2023-11247）、SEMCMS Ant_Pro.php SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【消?！科叽蠓丛p利器 守護您的錢袋子

96110預警勸阻專線是反詐專用號碼，具有預警勸阻、防騙咨詢和涉詐舉報功能。如果接到96110來電，一定要及時接聽并耐心聽取民警的勸阻提示，避免掉入電信詐騙陷阱。>>詳細

銀行卡外借？小心觸犯“幫信罪”！

近年來，“幫信罪”案件數量激增，已成為各類刑事犯罪中起訴人數排名第三的罪名。涉案人即使沒有被刑事追責，也有可能被追究行政責任。>>詳細

工信部：促進網絡安全保險規范健康發展

網絡安全保險工作組發起《網絡安全保險行業協同發展倡議書》，與會工作組成員單位代表紛紛在倡議書上簽字。>>詳細

小心有詐，“轉貸降息”風險重重！

要合理評估個人或家庭實際情況，若有提前還貸或者其他金融業務需求，應向銀行等正規金融機構進行咨詢了解相關情況。要了解金融常識，保護自身合法權益。>>詳細

《2023上海人工智能安全倫理倡議書》簽署 倡導人工智能開發者向光而行

《倡議書》以《上海市促進人工智能產業發展條例》為指導，倡導人工智能開發者向光而行，確保人工智能行業朝著公平公正、內容安全、隱私保護、互聯互通、共建共享共治方向不斷前進，向上發展。>>詳細

浦發銀行青島分行多措并舉守護金融安全

浦發銀行青島分行圍繞普及金融知識、防范電信網絡詐騙，立足銀行網點，走進社區、學校、老年公寓等，多形式、多維度、多層次進行宣教，立足各環節，全鏈條、全方位、全過程防范電信網絡詐騙，守護客戶的“錢袋子”。>>詳細

反洗錢宣傳|警惕虛擬貨幣洗錢，增強風險意識

應增強風險意識，樹立正確的投資理念，不貪圖便宜亦不要輕信高利誘惑，拒絕參與虛擬貨幣交易炒作活動，拒絕盲目跟風虛擬貨幣相關投機行為，謹防個人財產及權益受損。>>詳細

電子銀行安全評估：銀行信息安全工作必選項

電子銀行安全評估一般從電子銀行系統入手，分別針對安全管理、技術安全、業務安全三個層面進行剖析。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年2月20日-26日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞345個，其中高危漏洞202個、中危漏洞120個、低危漏洞23個。漏洞平均分值為6.64。上周收錄的漏洞中，涉及0day漏洞293個（占85%），其中互聯網上出現“PbootCMS SQL注入漏洞（CNVD-2023-11247）、SEMCMS Ant_Pro.php SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google TensorFlow是美國谷歌（Google）公司的一套用于機器學習的端到端開源平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞觸發拒絕服務攻擊。

CNVD收錄的相關漏洞包括：Google TensorFlow拒絕服務漏洞（CNVD-2023-10600、CNVD-2023-10601）、Google TensorFlow CollectiveGather拒絕服務漏洞、Google TensorFlow輸入驗證錯誤漏洞（CNVD-2023-10603）、Google TensorFlow AvgPoolOp拒絕服務漏洞、Google TensorFlow EmptyTensorList拒絕服務漏洞、Google TensorFlow DrawBoundingBoxes拒絕服務漏洞、Google TensorFlow Conv2D拒絕服務漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Maximo Asset Management是美國國際商業機器（IBM）公司的一套綜合性資產生命周期和維護管理解決方案。該方案能夠在一個平臺上管理所有類型的資產，如設施、交通運輸等，并對這些資產實現單點控制。IBM Aspera是美國國際商業機器（IBM）公司的一套基于IBM FASP協議構建的快速文件傳輸和流解決方案。IBM InfoSphere Information Server是企業級信息集成平臺。它能夠幫助客戶理解異構系統中的各種復雜信息，并且通過清洗和轉換生成一致、完整的可信賴信息，最后將可信賴信息以各種方式交付給各種業務系統。IBM Sterling B2B Integrator是美國國際商業機器（IBM）公司的一套集成了重要的B2B流程、交易和關系的軟件。該軟件支持與不同的合作伙伴社區之間實現復雜的B2B流程的安全集成。IBM QRadar SIEM是美國國際商業機器（IBM）公司的一套利用安全智能保護資產和信息遠離高級威脅的解決方案。該方案提供對整個IT架構范圍進行監督、生成詳細的數據訪問和用戶活動報告等功能。IBM WebSphere Application Server（WAS）是美國國際商業機器（IBM）公司的一款應用服務器產品。該產品是JavaEE和Web服務應用程序的平臺，也是IBMWebSphere軟件平臺的基礎。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在瀏覽器中返回詳細的技術錯誤消息時獲取敏感信息，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：IBM Maximo Asset Management信息泄露漏洞（CNVD-2023-11691）、IBM Aspera Faspex反序列化漏洞、IBM InfoSphere Information Server跨站腳本漏洞（CNVD-2023-11689）、IBM Aspera Faspex跨站腳本漏洞、IBM Sterling B2B Integrator跨站腳本漏洞（CNVD-2023-11694）、IBM QRadar SIEM信息泄露漏洞（CNVD-2023-11693）、IBM Sterling B2B Integrator身份驗證錯誤漏洞、IBM WebSphere Application Server加密問題漏洞。其中，“IBM Aspera Faspex反序列化漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle PeopleSoft Enterprise PeopleTools是美國甲骨文（Oracle）公司的用于為 PeopleSoft 應用程序提供與用戶的需求和期望保持同步的技術。Oracle Supply Chain Products Suite是美國甲骨文（Oracle）公司的一套供應鏈解決方案。該產品提供價值鏈計劃、價值鏈執行、產品生命周期管理等功能。Oracle PeopleSoft Enterprise PeopleTools是美國甲骨文（Oracle）公司的用于為PeopleSoft應用程序提供與用戶的需求和期望保持同步的技術。Oracle E-Business Suite（電子商務套件）是美國甲骨文（Oracle）公司的一套全面集成式的全球業務管理軟件。該軟件提供了客戶關系管理、服務管理、財務管理等功能。Oracle VM VirtualBox是美國甲骨文（Oracle）公司的一款虛擬機管理軟件。Oracle Enterprise Manager Base Platform是美國甲骨文（Oracle）公司的一套本地管理平臺。該平臺主要用于管理Oracle產品部署。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，在系統上執行任意代碼或導致拒絕服務等。

CNVD收錄的相關漏洞包括Oracle PeopleSoft Enterprise PeopleTools信息泄露漏洞（CNVD-2023-11165、CNVD-2023-12017）、Oracle Supply Chain信息泄露漏洞（CNVD-2023-11168）、Oracle PeopleSoft Enterprise PeopleTools跨站腳本漏洞、Oracle Trade Management信息泄露漏洞（CNVD-2023-11172）、Oracle VM VirtualBox輸入驗證錯誤漏洞（CNVD-2023-11171）、Oracle Enterprise Manager Base Platform輸入驗證錯誤漏洞、Oracle VM VirtualBox拒絕服務漏洞（CNVD-2023-11169）。其中，“Oracle Enterprise Manager Base Platform輸入驗證錯誤漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens Tecnomatix Plant Simulation是面向對象的、圖形化的、集成的建模、仿真工具。上周，上述產品被披露存在越界寫入漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Siemens Tecnomatix Plant Simulation越界寫入漏洞（CNVD-2023-10614、CNVD-2023-10616、CNVD-2023-10615、CNVD-2023-10618、CNVD-2023-10617、CNVD-2023-10620、CNVD-2023-10619、CNVD-2023-10621）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

OTFCC代碼問題漏洞

OTFCC是Caryll開源的一個C庫和實用程序。用于解析和編寫OpenType字體文件。上周，OTFCC被披露存在代碼問題漏洞。攻擊者可利用該漏洞導致程序拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞觸發拒絕服務攻擊。此外，IBM、Oracle、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在瀏覽器中返回詳細的技術錯誤消息時獲取敏感信息，在系統上執行任意代碼等。另外，OTFCC被披露存在代碼問題漏洞。攻擊者可利用該漏洞導致程序拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國證券報·中證網、中國農業銀行、中信銀行、浦發銀行、微眾銀行報道

責任編輯：韓希宇