國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞534個，互聯網上出現“Hoosk CMS任意文件上傳漏洞、Resort Reservation System跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

金融AIGC調研：機構對GPT需求迫切，“AI換臉”敲響安全警鐘

我們迫切需要重構人工智能信任，在技術上、制度上有效對抗AI虛假，建立防范AI操縱的防火墻，維護數字經濟時代的國家安全與金融業安全。>>詳細

AI時代，眼見一定為實嗎？

AI詐騙層出不窮，但再高明的騙局，總會有破局之法。>>詳細

緊急提醒｜網聊10分鐘被騙430萬，警惕AI新騙局！

明明已經和借錢的朋友視頻過，怎么還是被騙了錢?注意! !現在人臉也能被盜用，新型AI電信詐騙正在悄悄蔓延! >>詳細

【防詐騙】欺詐套路再升級，新型刷單騙局要提防

請提高警惕，不要輕信任何涉及以上刷單套路的虛假信息，不輕信網絡中陌生人說辭，避免遭受資金損失。>>詳細

“AI換臉”調查：“丟臉”同時暗藏“丟錢”風險 券商提示警惕高仿真詐騙手段

受訪專家普遍認為，“AI換臉”技術的濫用給金融機構敲響了警鐘，其復雜性、隱蔽性、突發性對機構的科技識別及運用提出了更高的要求。>>詳細

老年消費者注意 這三類詐騙陷阱或許就在您身邊

一方面不信“偏門”，辦理各類金融業務一定要通過正規機構和渠道；不貪“小利”，謹記“天上不會掉餡餅”的道理。另一方面多了解金融常識，從正規渠道了解金融產品和辦理流程，提高防范風險能力。>>詳細

關于發布《網絡安全標準實踐指南—網絡數據安全風險評估實施指引》的通知

本《實踐指南》給出了網絡數據安全風險評估的評估思路、工作流程和評估內容。>>詳細

謹防電信網絡詐騙，小心踩入“圈套”！

不明APP不下載，不明鏈接不點擊。如遇可疑情況，要多和家人、朋友溝通商議并及時報警，以免遭到不法侵害。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年5月22日-28日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞534個，其中高危漏洞228個、中危漏洞284個、低危漏洞22個。漏洞平均分值為6.36。上周收錄的漏洞中，涉及0day漏洞417個（占78%），其中互聯網上出現“Hoosk CMS任意文件上傳漏洞、Resort Reservation System跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Substance 3D Painter是美國奧多比（Adobe）公司的一個3D紋理處理應用程序。Adobe Dimension是美國奧多比（Adobe）公司的一套2D和3D合成設計工具。上周，上述產品被披露存在越界讀取漏洞，攻擊者可利用漏洞執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Painter越界讀取漏洞（CNVD-2023-40147、CNVD-2023-40146、CNVD-2023-40149、CNVD-2023-40152、CNVD-2023-41408）、Adobe Dimension越界讀取漏洞（CNVD-2023-41413、CNVD-2023-41416、CNVD-2023-41414）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Identity Services Engine（ISE）是美國思科（Cisco）公司的一款環境感知平臺（ISE身份服務引擎）。該平臺通過收集網絡、用戶和設備中的實時信息，制定并實施相應策略來監管網絡。Cisco Small Business是美國思科（Cisco）公司的一個交換機。Cisco DNA Center是美國思科（Cisco）公司的一個網絡管理和命令中心服務。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從受影響設備的文件系統下載任意文件，對底層操作系統執行命令注入攻擊，并將權限提升到root等。

CNVD收錄的相關漏洞包括：Cisco Identity Services Engine命令注入漏洞（CNVD-2023-40185、CNVD-2023-40187）、Cisco Identity Services Engine路徑遍歷漏洞（CNVD-2023-40184、CNVD-2023-40186）、Cisco Identity Services Engine授權繞過漏洞（CNVD-2023-40191）、Cisco Identity Services Engine任意文件下載漏洞、Cisco Small Business拒絕服務漏洞（CNVD-2023-40906）、Cisco DNA Center命令執行漏洞。其中，“Cisco Identity Services Engine命令注入漏洞（CNVD-2023-40187）、Cisco Small Business拒絕服務漏洞（CNVD-2023-40906）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Application Interface Framework（SAP AIF）是德國思愛普（SAP）公司的一個應用程序接口框架。SAP BusinessObjects Platform是德國思愛普（SAP）公司的一個用于數據報告、可視化和共享的集中式套件。SAP Web Dispatcher是德國思愛普（SAP）公司的Load Balancing的核心組件，支持負載均衡，提供反向代理的功能，使得外網用戶可以訪問到內部應用。SAP NetWeaver AS是德國思愛普（SAP）公司的一款SAP網絡應用服務器。它不僅能提供網絡服務，且還是SAP軟件的基本平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，覆蓋操作系統文件，導致系統不可用等。

CNVD收錄的相關漏洞包括：SAP Application Interface Framework信息泄露漏洞、SAP BusinessObjects Platform信息泄露漏洞、SAP Web Dispatcher訪問控制錯誤漏洞、SAP NetWeaver AS資源管理錯誤漏洞、SAP NetWeaver AS訪問控制錯誤漏洞（CNVD-2023-40162）、SAP NetWeaver AS跨站腳本漏洞（CNVD-2023-40169）、SAP NetWeaver AS路徑遍歷漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞（CNVD-2023-40166）。其中，“SAP NetWeaver AS路徑遍歷漏洞、SAP BusinessObjects Business Intelligence Platform信息泄露漏洞（CNVD-2023-40166）”的綜合評級為 “高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Schneider Electric產品安全漏洞

Schneider Electric Conext Gateway是法國施耐德電氣（Schneider Electric）公司的一系列網關設備。Schneider Electric EcoStruxure Control Expert是法國施耐德電氣（Schneider Electric）公司的一套用于Schneider Electric邏輯控制器產品的編程軟件。Schneider Electric Easy UPS Online Monitoring Software是法國施耐德電氣（Schneider Electric）公司的一款電源監控軟件。Schneider Electric Easergy Builder是法國施耐德電氣（Schneider Electric）公司的一套用于Easergy遠程終端單元和控制器的配置軟件。Schneider Electric SoMachine HVAC是法國施耐德電氣（Schneider Electric）公司的一套專用于Schneider Electric邏輯控制器的編程軟件。Schneider Electric Conext ComBox是法國施耐德電氣（Schneider Electric）公司的一款通信和監控設備。Schneider Electric OPC Factory Server是法國施耐德電氣（Schneider Electric）公司的一種軟件應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞對文件系統進行未經授權的讀取訪問，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Schneider Electric Conext Gateway輸入驗證錯誤漏洞、Schneider Electric EcoStruxure Control Expert拒絕服務漏洞、Schneider Electric EcoStruxure Control Expert代碼執行漏洞、Schneider Electric Easy UPS Online Monitoring Software訪問控制錯誤漏洞、Schneider Electric Easergy Builder代碼問題漏洞、Schneider Electric SoMachine HVAC緩沖區溢出漏洞、Schneider Electric Conext ComBox跨站請求偽造漏洞、Schneider Electric OPC Factory Server XML外部實體注入漏洞。其中，除“Schneider Electric EcoStruxure Control Expert拒絕服務漏洞、Schneider Electric Easergy Builder代碼問題漏洞、Schneider Electric OPC Factory Server XML外部實體注入漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TOTOLINK A3300R命令注入漏洞

TOTOLINK A3300R是中國吉翁電子（TOTOLINK）公司的一款無線路由器。上周，TOTOLINK A3300R被披露存在命令注入漏洞。該漏洞源于請求/cgi-bin/cstecgi.cgi的setddnscfg函數未能正確過濾構造命令特殊字符、命令等。攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼。此外，Cisco、SAP、Schneider Electric等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，覆蓋操作系統文件，執行任意代碼，導致拒絕服務等。另外，TOTOLINK A3300R被披露存在命令注入漏洞。攻擊者可利用該漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、證券日報、信安標委、中國銀聯、中國工商銀行、交通銀行、中信銀行微生活、江蘇轄區農商銀行報道

責任編輯：韓希宇