國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞381個，互聯網上出現“Tenda AC18堆棧溢出漏洞、Eolinker goku_lite SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【收藏】警惕養老詐騙，護航幸福生活

老年人不要隨意添加陌生人為好友，更不要隨意加入任何投資理財、低價購物等相關的社交群。>>詳細

關于開展網絡安全服務認證工作的實施意見

市場監管總局、中央網信辦、工業和信息化部、公安部根據職責，加強認證工作的組織實施和監督管理，鼓勵網絡運營者等廣泛采信網絡安全服務認證結果，促進網絡安全服務產業健康有序發展。>>詳細

人民銀行召開2023年反洗錢工作電視會議

持續提升反洗錢監測分析能力，進一步完善反洗錢數據使用和管理；七是持續加強調查研究，提升基礎工作實效。>>詳細

3句話，讓我躲過了穿著“數幣”馬甲的新騙局

數字人民幣是法定貨幣，與紙鈔和硬幣等價，沒有收藏及炒作價值，任何關于利用數幣推廣“獲利、返現、繳納保證金”的均為欺詐，如發現上當受騙，及時報警。>>詳細

叮咚！您有一封防詐騙來信，請查收

無論對方以怎樣的理由通過電話或者網絡聯系你，當其最終要求你進行轉賬支付時，請提高警惕！>>詳細

【干貨】消保知識之漫談《銀行保險機構消費者權益保護管理辦法》

《銀行保險機構消費者權益保護管理辦法》切實貫徹了“以人民為中心”的發展思想，充實了審慎監管與行為監管并重的監管體系，切實保護了金融消費者的合法權益。>>詳細

消保小課堂丨倡導理性消費 珍視個人信用

不良記錄主要是在借貸、賒購、擔保、租賃、保險、使用信用卡等活動中未按照合同履行義務或未承擔相關責任所產生的。>>詳細

【提示】警惕“反催收”黑產詐騙

“反催收”詐騙組織會根據所謂業務需要收集您的身份信息、電話號碼、銀行卡號甚至征信報告內容，存在個人信息泄露的隱患。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年3月20日-26日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞381個，其中高危漏洞161個、中危漏洞180個、低危漏洞40個。漏洞平均分值為6.34。上周收錄的漏洞中，涉及0day漏洞331個（占87%），其中互聯網上出現“Tenda AC18堆棧溢出漏洞、Eolinker goku_lite SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，造成拒絕服務。

CNVD收錄的相關漏洞包括：Google Android信息泄露漏洞（CNVD-2023-18906）、Google Android拒絕服務漏洞（CNVD-2023-18908、CNVD-2023-18909）、Google Android權限提升漏洞（CNVD-2023-18910、CNVD-2023-18915、CNVD-2023-18912、CNVD-2023-18913、CNVD-2023-18914）。其中，除“Google Android信息泄露漏洞（CNVD-2023-18906）、Google Android拒絕服務漏洞（CNVD-2023-18908、CNVD-2023-18909）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows Bluetooth Service是美國微軟（Microsoft）公司的一個藍牙驅動程序。Microsoft Office是微軟公司開發的一套基于Windows操作系統的辦公軟件套裝。Microsoft Windows是一款由美國微軟公司開發的窗口化操作系統。Microsoft Exchange Server是美國微軟（Microsoft）公司的一套電子郵件服務程序。它提供郵件存取、儲存、轉發，語音郵件，郵件過濾篩選等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限，在目標主機上執行代碼。

CNVD收錄的相關漏洞包括：Microsoft Windows Bluetooth Service代碼執行漏洞、Microsoft Exchange Server遠程代碼執行漏洞（CNVD-2023-18284）、Microsoft Office信息泄露漏洞（CNVD-2023-18285）、Microsoft Windows Malicious Software Removal Tool權限提升漏洞、Microsoft Office遠程代碼執行漏洞（CNVD-2023-18287、CNVD-2023-18288）、Microsoft Office Visio遠程代碼執行漏洞（CNVD-2023-18289）、Microsoft Windows Kernel權限提升漏洞（CNVD-2023-18290）。其中，除“Microsoft Office信息泄露漏洞（CNVD-2023-18285）、Microsoft Windows Malicious Software Removal Tool權限提升漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Fortinet產品安全漏洞

Fortinet FortiWeb是美國飛塔（Fortinet）公司的一款Web應用層防火墻，它能夠阻斷如跨站點腳本、SQL注入、Cookie中毒、schema中毒等攻擊的威脅。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制的HTTP GET請求獲取對文件和數據的未經授權訪問，提升權限，執行任意代碼或命令等。

CNVD收錄的相關漏洞包括：Fortinet FortiWeb操作系統命令注入漏洞（CNVD-2023-18291）、Fortinet FortiWeb格式化字符串錯誤漏洞、Fortinet FortiWeb緩沖區溢出漏洞（CNVD-2023-18294、CNVD-2023-18297、CNVD-2023-18301、CNVD-2023-18300）、Fortinet FortiWeb路徑遍歷漏洞（CNVD-2023-18293）、Fortinet FortiWeb資源管理錯誤漏洞。其中，“Fortinet FortiWeb操作系統命令注入漏洞（CNVD-2023-18291）、Fortinet FortiWeb緩沖區溢出漏洞（CNVD-2023-18294、CNVD-2023-18297、CNVD-2023-18300）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens Tecnomatix Plant Simulation是德國西門子（Siemens）公司的一個工控設備。利用離散事件仿真的功能進行生產量分析和優化，進而改善制造系統性能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Siemens Tecnomatix Plant Simulation堆棧緩沖區溢出漏洞（CNVD-2023-18928、CNVD-2023-18933）、Siemens Tecnomatix Plant Simulation越界讀取漏洞（CNVD-2023-18929、CNVD-2023-18932、CNVD-2023-18935）、Siemens Tecnomatix Plant Simulation越界寫入漏洞（CNVD-2023-18930、CNVD-2023-18931）、Siemens Tecnomatix Plant Simulation內存破壞漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TRENDnet TEW-755AP緩沖區溢出漏洞

TRENDnet TEW-755AP是美國趨勢網絡（TRENDnet）公司的一款路由器。上周，TRENDnet TEW-755AP被披露存在緩沖區溢出漏洞。該漏洞源于wifi_captive_portal函數中的user_edit_page參數對輸入的數據缺乏大小檢查，攻擊者可利用該漏洞在系統上執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，造成拒絕服務。此外，Microsoft、Fortinet、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過特制的HTTP GET請求獲取對文件和數據的未經授權訪問，提升權限，執行任意代碼或命令等。另外，TRENDnet TEW-755AP被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞在系統上執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、國家認監委、中國建設銀行、廣發銀行、杭州銀行微訊、蒙商銀行、泉州銀行、昆侖銀行報道

責任編輯：韓希宇