國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞521個，互聯網上出現“ImpressCMS跨站腳本漏洞（CNVD-2023-59104）、Food Ordering System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【反詐】關鍵詞：網聊、詐騙、套路、揭秘

未知鏈接不點擊，陌生來電不輕信，個人信息不泄露，轉賬匯款多核實。>>詳細

交行傳遞金融情 服務溫暖新市民

近年來，不少人因創業就業、子女上學等原因來到新城市、成為“ 新市民”,面對陌生的環境，要注意識別不明信息。姣姣為你送上防騙貼士，一起拆穿套路防止“掉坑”。>>詳細

黑產AI模擬真人信貸欺詐“猖獗” 金融機構風控從規則對抗邁向模型對抗

黑產組織會通過腳本工具等技術發起惡意機器人流量，通過AI技術模擬大量“真人行為”，虛構大量符合信貸要求的“假人”以騙取信貸資金。>>詳細

反詐手記 | 教育機構主動退費？警惕落入退費陷阱！

暑假期間，不法分子利用教育培訓契機，通過偽造教育部文件的方式冒充培訓機構工作人員，以退培訓費名義實施詐騙，小茄子帶來《反詐手記》第六期暑期特輯（一）防范教培退費陷阱，教你識破騙局。>>詳細

安全課堂 | 謹防新型ETC詐騙，勿點勿信勿填信息

釣魚短信勿點擊，短信是不法分子“拓客”的重要渠道之一，任何短信內附上的奇怪鏈接，都不可輕易點擊。>>詳細

【風險提示】不消失的賭徒心理，小心富翁變“負”翁！

提醒那些底層奮斗的青年，不要妄圖走捷徑，任何捷徑都是偽裝的毒蛇。>>詳細

【消保小講堂】防范電信網絡詐騙，這些套路要警惕

收到線上渠道發送的要求轉賬匯款的信息時，一定要使用電話、視頻或線下等方式核實確認，切勿盲目轉賬。>>詳細

【以案說險】防范新型詐騙，守護資金安全

切勿輕信不明來歷的電話或短信，不隨意點擊陌生鏈接，認清官方渠道。>>詳細

樹立風險意識，防范金融詐騙

金融消費者要加強防范“電信網絡詐騙”意識，保護自己的個人信息安全不隨意泄露給其他人。一旦自身的合法權益受到不法侵害請第一時間向警方報案。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年7月24日-30日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞521個，其中高危漏洞272個、中危漏洞221個、低危漏洞28個。漏洞平均分值為6.56。上周收錄的漏洞中，涉及0day漏洞456個（占88%），其中互聯網上出現“ImpressCMS跨站腳本漏洞（CNVD-2023-59104）、Food Ordering System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM AIX（Advanced Interactive eXecutive）是美國IBM公司開發的一套UNIX操作系統。IBM DB2是美國國際商業機器（IBM）公司的一套關系型數據庫管理系統。該系統的執行環境主要有UNIX、Linux、IBMi、z/OS以及Windows服務器版本。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意命令，在受影響服務的路徑中插入可執行文件來獲得提升的權限等。

CNVD收錄的相關漏洞包括：IBM AIX權限提升漏洞（CNVD-2023-58513）、IBM AIX命令執行漏洞、IBM DB2代碼執行漏洞（CNVD-2023-58518、CNVD-2023-58517、CNVD-2023-58520）、IBM DB2拒絕服務漏洞（CNVD-2023-58519、CNVD-2023-58522）、IBM DB2權限提升漏洞（CNVD-2023-58521）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致內核信息泄露，將權限升級為root權限，在系統上執行任意代碼或者導致拒絕服務攻擊等。

CNVD收錄的相關漏洞包括：Linux kernel緩沖區溢出漏洞（CNVD-2023-58988、CNVD-2023-58993）、Linux kernel資源管理錯誤漏洞（CNVD-2023-58987、CNVD-2023-58991、CNVD-2023-58989）、Linux kernel競爭條件漏洞（CNVD-2023-58986）、Linux kernel xusb.c文件代碼問題漏洞、Linux kernel輸入驗證錯誤漏洞（CNVD-2023-58992）。其中，“Linux kernel緩沖區溢出漏洞（CNVD-2023-58993）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過HTTPS創建WebRTC連接時觸發釋放后重用，提交特殊的WEB請求，誘使用戶解析，可使系統崩潰，造成拒絕服務攻擊或以應用程序上下文執行任意代碼等。

CNVD收錄的相關漏洞包括：Mozilla Firefox資源管理錯誤漏洞（CNVD-2023-58298、CNVD-2023-59025、CNVD-2023-59027、CNVD-2023-59029）、Mozilla Firefox輸入驗證錯誤漏洞（CNVD-2023-59028）、Mozilla Firefox緩沖區溢出漏洞（CNVD-2023-59026）、Mozilla Firefox信息泄露漏洞（CNVD-2023-59031、CNVD-2023-59030）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Moxa產品安全漏洞

Moxa MXsecurity是中國摩莎（MOXA）公司的一個管理平臺?？商峁┘械目梢娦院桶踩芾?，以輕松監視和識別網絡威脅并防止安全錯誤配置，從而創建強大的威脅防御。Moxa SDS-3008是中國摩莎（MOXA）公司的一系列工業交換機。Moxa NPort 5110是MOXA的一款通用設備服務器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發送特制HTTP請求導致任意Javascript執行，執行任意代碼等。

CNVD收錄的相關漏洞包括：Moxa MXsecurity命令注入漏洞、Moxa SDS-3008跨站腳本漏洞（CNVD-2023-58304、CNVD-2023-58306、CNVD-2023-58305）、Moxa SDS-3008明文傳輸漏洞、Moxa SDS-3008拒絕服務漏洞、Moxa NPort 5110越界寫入漏洞、Moxa SDS-3008信息泄露漏洞。其中，“Moxa MXsecurity命令注入漏洞、Moxa SDS-3008明文傳輸漏洞、Moxa SDS-3008拒絕服務漏洞、Moxa NPort 5110越界寫入漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SEMCMS代碼問題漏洞

SEMCMS是一套支持多種語言的外貿網站內容管理系統（CMS）。上周，SEMCMS被披露存在代碼問題漏洞。攻擊者可利用該漏洞上傳任意文件并獲得升級的權限。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意命令，在受影響服務的路徑中插入可執行文件來獲得提升的權限等。此外，Linux、Mozilla、Moxa等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致內核信息泄露，將權限升級為root權限，在系統上執行任意代碼或者導致拒絕服務攻擊等。另外，SEMCMS被披露存在代碼問題漏洞。攻擊者可利用漏洞上傳任意文件并獲得升級的權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國工商銀行客戶服務、交通銀行、財富光大、北京銀行微銀行、河北銀行、邢臺銀行、貴州銀行、桂林銀行金融服務報道

責任編輯：韓希宇