國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞366個，互聯網上出現“Online Travel Agency System跨站腳本漏洞、XXL-JOB跨站請求偽造漏洞（CNVD-2023-67068）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

聯接創造價值，安全惠及民生 中國銀聯參加第十屆國家網絡安全宣傳周

以“網絡安全為人民，網絡安全靠人民”為主題的2023年國家網絡安全宣傳周活動在福州市開幕，中國銀聯以“聯接創造價值，安全惠及民生”為主題，連續第十年參展。>>詳細

國家網絡安全宣傳周上海站開幕 網絡安全走向“以數據為核心”

9月11日下午，2023年國家網絡安全宣傳周上海地區活動在上海市青浦區拉開帷幕。>>詳細

開學季，這組防詐公式快牢記

轉賬匯款多核實，高額傭金存套路，租借兩卡要遠離，屏幕共享需提防。>>詳細

企業手機U寶，免Key轉賬真方便！

民生銀行企業手機銀行重磅推出了“企業手機U寶"功能，客戶手機設備安裝"手機U寶"以后可直接用于各類交易場景身份認證，不再需要隨身攜帶實物U寶，十分便捷。>>詳細

廣發銀行積極參加2023年國家網絡安全宣傳周活動

近年來，廣發銀行積極踐行“以人民為中心”的發展思想，切實履行社會責任，筑牢網絡安全底線，助力“平安中國”建設。>>詳細

張健華：建議明確金融黑灰產認定標準 提升消費者權益保護質效

金融黑灰產可能對金融機構形成聲譽風險、監管合規風險和資產損失風險，客戶利益也將受到一定損失，建議有關部門對金融黑灰產進行標準界定，提升消費者權益保護質效。>>詳細

【知識】一圖讀懂移動金融客戶端應用軟件安全管理規范

資金交易類客戶端應用軟件應符合資金交易、信息保護等所有技術及管理安全要求。>>詳細

【以案說險】警惕養老詐騙，守護您的“錢袋子”

面對各類養老詐騙騙術，老年人一定要保持清醒的頭腦，不貪圖小利，不輕信他人，凡是涉及投資、中獎、貸款等事項，要及時與親人朋友商量，切忌盲目做決定；日常生活中要注意妥善保管自己的個人信息，不向他人透露。>>詳細

【金融知識進鄉村】銀行卡勿轉借，當心成為“幫兇”

一些詐騙分子以金錢為誘餌，引導受害人將其銀行卡出租出借，繼而使用銀行卡進行電信網絡詐騙或其他違法犯罪行為。大家一定要提高警惕，妥善保管銀行卡，切勿貪圖小便宜！>>詳細

網絡安全 億聯在行動

2023年9月11日至17日是2023年國家網絡安全宣傳周。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年9月4日-10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞366個，其中高危漏洞159個、中危漏洞200個、低危漏洞7個。漏洞平均分值為6.65。上周收錄的漏洞中，涉及0day漏洞274個（占75%），其中互聯網上出現“Online Travel Agency System跨站腳本漏洞、XXL-JOB跨站請求偽造漏洞（CNVD-2023-67068）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

IBM產品安全漏洞

IBM Security Guardium是美國國際商業機器（IBM）公司的一套提供數據保護功能的平臺。該平臺包括自定義UI、報告管理和流線化的審計流程構建等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過發送特制的HTTP請求來枚舉用戶名，發送特制請求在系統上執行任意命令等。

CNVD收錄的相關漏洞包括：IBM Security Guardium信息泄露漏洞（CNVD-2023-66732）、IBM Security Guardium SQL注入漏洞（CNVD-2023-66731）、IBM Security Guardium跨站腳本漏洞（CNVD-2023-66735、CNVD-2023-66734、CNVD-2023-66733）、IBM Security Guardium命令執行漏洞（CNVD-2023-66738、CNVD-2023-66736）、IBM Security Guardium身份驗證錯誤漏洞。其中，“IBM Security Guardium命令執行漏洞（CNVD-2023-66738、CNVD-2023-66736）、IBM Security Guardium身份驗證錯誤漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，在系統上執行任意代碼或導致應用程序崩潰等。

CNVD收錄的相關漏洞包括：Google Chrome代碼執行漏洞（CNVD-2023-67083）、Google Chrome FedCM安全繞過漏洞、Google Chrome navigation安全繞過漏洞（CNVD-2023-67085）、Google Chrome WebShare安全繞過漏洞、Google Chrome Accessibility信息泄露漏洞、Google Chrome Browser History緩沖區溢出漏洞、Google Chrome Vulkan代碼執行漏洞、Google Chrome Intents安全繞過漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache ShardingSphere是美國阿帕奇（Apache）基金會的一套開源的分布式數據庫中間件解決方案。Apache Traffic Server（ATS）是美國阿帕奇（Apache）基金會的一套可擴展的HTTP代理和緩存服務器。Apache EventMesh是美國阿帕奇（Apache）基金會的新一代無服務器事件中間件，用于構建分布式事件驅動應用程序。Apache Pulsar是美國阿帕奇（Apache）基金會的一個用于云環境種，集消息、存儲、輕量化函數式計算為一體的分布式消息流平臺。該軟件支持多租戶、持久化存儲、多機房跨區域數據復制，具有強一致性、高吞吐以及低延時的高可擴展流數據存儲特性。Apache Tomcat是美國阿帕奇（Apache）基金會的一款輕量級Web應用服務器。該程序實現了對Servlet和JavaServer Page（JSP）的支持。Apache Accumulo是美國阿帕奇（Apache）基金會的一個可靠的、可伸縮的、高性能的排序分布式的Key-Value存儲應用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，通過無效的Range標頭導致崩潰，通過構建特殊的YAML配置文件來執行任意代碼等。

CNVD收錄的相關漏洞包括：Apache Airflow輸入驗證錯誤漏洞（CNVD-2023-67067）、Apache ShardingSphere反序列化漏洞、Apache Airflow授權問題漏洞（CNVD-2023-67070）、Apache Traffic Server輸入驗證錯誤漏洞（CNVD-2023-67069）、Apache EventMesh反序列化漏洞、Apache Pulsar信息泄露漏洞、Apache Tomcat信息泄露漏洞（CNVD-2023-67080）、Apache Accumulo授權問題漏洞。其中，除“Apache Pulsar信息泄露漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Mozilla產品安全漏洞

Mozilla Firefox是美國Mozilla基金會的一款開源Web瀏覽器。Mozilla Firefox ESR是火狐瀏覽器(企業版)。Mozilla Thunderbird是美國Mozilla基金會的一套從Mozilla Application Suite獨立出來的電子郵件客戶端軟件。該軟件支持IMAP、POP郵件協議以及HTML郵件格式。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從此文件夾中讀取文件并獲得對潛在敏感信息的訪問權限，導致程序崩潰，任意代碼執行等。

CNVD收錄的相關漏洞包括：Mozilla Firefox and Firefox ESR緩沖區溢出漏洞、Mozilla Firefox內存錯誤引用漏洞（CNVD-2023-68209） 、Mozilla Firefox訪問控制錯誤漏洞（CNVD-2023-68217）、Mozilla Firefox輸入驗證錯誤漏洞（CNVD-2023-68216）、Mozilla Firefox內存破壞漏洞（CNVD-2023-68215）、Mozilla Thunderbird和Firefox任意代碼執行漏洞、Mozilla Thunderbird資源管理錯誤漏洞（CNVD-2023-68219）、Mozilla Firefox資源管理錯誤漏洞（CNVD-2023-68218）。上述漏洞的綜合評級為“高?！?。

tenda AC6緩沖區溢出漏洞（CNVD-2023-68221）

Tenda AC6是中國騰達（Tenda）公司的一款無線路由器。上周，Tenda AC6被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞在系統上執行任意代碼或者導致拒絕服務攻擊。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，IBM產品被披露存在多個漏洞，攻擊者可利用漏洞通過發送特制的HTTP請求來枚舉用戶名，發送特制請求在系統上執行任意命令等。此外，Google、Apache、Mozilla等多款產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，通過無效的Range標頭導致崩潰，通過構建特殊的YAML配置文件來執行任意代碼等。另外，Tenda AC6被披露存在緩沖區溢出漏洞。攻擊者可利用漏洞在系統上執行任意代碼或者導致拒絕服務攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、第一財經、中國證券報·中證網、中信銀行微生活、民生銀行對公線上銀行、秦皇島銀行、貴州銀行、桂林銀行金融服務、億聯銀行報道

責任編輯：韓希宇