國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞370個，互聯網上出現“Bludit跨站腳本漏洞（CNVD-2023-43230）、nopCommerce訪問控制錯誤漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

從招聘流程再造到數據出境安全評估 金融機構“備戰”個人信息合規操作

若通過獵頭或內推渠道收集應聘者個人信息，銀行還需先與獵頭/內推人簽訂數據共享協議。>>詳細

金融知識萬里行｜適老金融有溫度 守護“銀齡族”幸福晚年

適老金融有溫度，農情服務，天天進步。>>詳細

新市民如何保護個人信息 牢記這“四個不”

不將身份證、銀行卡、網銀U盾、手機等重要物品外借給他人。>>詳細

【消?！繝幾鼋鹑谛l士，反假知識伴您同行

如果誤收假幣，不應該再繼續使用，應該立即上繳當地銀行或公安機關；當看到別人持有假幣時，也應勸其上繳或向公安機關報告。>>詳細

金融知識需提高 勿信“好事”找上門

“幫信”行為還有可能涉嫌妨害信用卡管理罪、買賣國家機關證件罪和掩飾、隱瞞犯罪所得罪，甚至構成詐騙罪，可能給個人帶來牢獄之災，請您切勿貪圖小利，以身試法。>>詳細

【小河講反洗錢】警惕！AI換臉冒充朋友10分鐘騙走430萬元

對突如其來的電話保持警惕，即使是來自你認識的人，因為來電顯示的號碼可能是偽造的。>>詳細

【警惕】以案說險之大學畢業入職場 小額貸款莫上當

牢記“三不一多”：未知鏈接不點擊、陌生來電不輕信、個人信息不透露、轉賬匯款多核實。>>詳細

蘇州銀行開展“萌警說反詐”金融安全宣傳活動

蘇州銀行聯合蘇州市公安局新聞宣傳中心、蘇州市反通信網絡詐騙中心、蘇州工業園區公安分局開展了線上+線下系列“萌警說反詐”金融安全宣傳活動。>>詳細

金教基地 | 警惕！非法集資陷阱

為了保護您和家人的錢袋子，今天晉商銀行為大家帶來防范非法集資的金融小常識，了解什么是非法集資?如何防范非法集資?防范風險于未然。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年5月29日-6月4日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞370個，其中高危漏洞163個、中危漏洞164個、低危漏洞43個。漏洞平均分值為6.45。上周收錄的漏洞中，涉及0day漏洞278個（占75%），其中互聯網上出現“Bludit跨站腳本漏洞（CNVD-2023-43230）、nopCommerce訪問控制錯誤漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面潛在地利用堆損壞，獲得提升的權限。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-41877、CNVD-2023-41878、CNVD-2023-41879、CNVD-2023-41881、CNVD-2023-41886）、Google Chrome Autofill UI內存錯誤引用漏洞、Google Chrome Guest View內存錯誤引用漏洞、Google Chrome DevTools內存錯誤引用漏洞（CNVD-2023-43874）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Cognos Analytics是美國國際商業機器（IBM）公司的一套商業智能軟件。該軟件包括報表、儀表板和記分卡等，并可通過分析關鍵因素與關鍵人等內容，協助企業調整決策。IBM InfoSphere Information Server是一款領先的集成平臺，其服務產品可幫助您理解、清理、監控、轉換和交付數據。IBM Spectrum Protect Plus是美國國際商業機器（IBM）公司的一套數據保護平臺。該平臺為企業提供單一控制和管理點，并支持對所有規模的虛擬、物理和云環境進行備份和恢復。IBM Security Verify Access（ISAM）是美國國際商業機器（IBM）公司的一款提高用戶訪問安全的服務。IBM Planning Analytics是美國國際商業機器（IBM）公司的一套業務規劃分析解決方案。該方案支持自動化執行業務規劃、預算和分析等流程。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取憑證，在Web UI中嵌入任意JavaScript代碼，從而導致憑據泄露，執行任意代碼，獲取主機權限等。

CNVD收錄的相關漏洞包括：IBM Cognos Analytics跨站腳本漏洞（CNVD-2023-41887）、IBM InfoSphere Information Server信息泄露漏洞（CNVD-2023-41891）、IBM InfoSphere Information Server跨站腳本漏洞（CNVD-2023-41890）、IBM InfoSphere Information Server SQL注入漏洞（CNVD-2023-41889）、IBM InfoSphere Information Server代碼執行漏洞、IBM Spectrum Protect Plus信息泄露漏洞（CNVD-2023-41895）、IBM Security Verify Access輸入驗證錯誤漏洞（CNVD-2023-41894）、IBM Planning Analytics跨站腳本漏洞（CNVD-2023-41893）。其中，“IBM InfoSphere Information Server代碼執行漏洞、IBM Security Verify Access輸入驗證錯誤漏洞（CNVD-2023-41894）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache InLong是美國阿帕奇（Apache）基金會的一站式的海量數據集成框架。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞刪除、編輯、停止和啟動他人的源，在系統上執行任意代碼，提升權限等。

CNVD收錄的相關漏洞包括：Apache InLong安全繞過漏洞（CNVD-2023-42958、CNVD-2023-42959、CNVD-2023-42962、CNVD-2023-42961）、Apache InLong權限提升漏洞、Apache InLong安全繞過漏洞、Apache InLong代碼執行漏洞、Apache InLong授權問題漏洞。上述漏洞的綜合評級為 “高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Substance 3D Stager是美國奧多比（Adobe）公司的一個虛擬3D工作室。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致內存泄露，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Stager輸入驗證錯誤漏洞、Adobe Substance 3D Stager越界讀取漏洞（CNVD-2023-41873、CNVD-2023-41872、CNVD-2023-41875、CNVD-2023-41874）、Adobe Substance 3D Stager資源管理錯誤漏洞（CNVD-2023-41871、CNVD-2023-41870）、Adobe Substance 3D Stager緩沖區溢出漏洞（CNVD-2023-41876）。其中，“Adobe Substance 3D Stager輸入驗證錯誤漏洞、Adobe Substance 3D Stager資源管理錯誤漏洞（CNVD-2023-41871、CNVD-2023-41870）、Adobe Substance 3D Stager緩沖區溢出漏洞（CNVD-2023-41876）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Substance 3D Stager是美國奧多比（Adobe）公司的一個虛擬3D工作室。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致內存泄露，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Stager輸入驗證錯誤漏洞、Adobe Substance 3D Stager越界讀取漏洞（CNVD-2023-41873、CNVD-2023-41872、CNVD-2023-41875、CNVD-2023-41874）、Adobe Substance 3D Stager資源管理錯誤漏洞（CNVD-2023-41871、CNVD-2023-41870）、Adobe Substance 3D Stager緩沖區溢出漏洞（CNVD-2023-41876）。其中，“Adobe Substance 3D Stager輸入驗證錯誤漏洞、Adobe Substance 3D Stager資源管理錯誤漏洞（CNVD-2023-41871、CNVD-2023-41870）、Adobe Substance 3D Stager緩沖區溢出漏洞（CNVD-2023-41876）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面潛在地利用堆損壞，獲得提升的權限。此外，IBM、Apache、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞讀取憑證，在Web UI中嵌入任意JavaScript代碼，從而導致憑據泄露，執行任意代碼，獲取主機權限等。另外，Tenda AC15被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞使緩沖區溢出并在系統上執行任意代碼，或者導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國農業銀行、交通銀行、中國光大銀行、中國民生銀行、河北銀行、南京銀行、晉商銀行、蘇銀微動態報道

責任編輯：韓希宇