國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞562個，互聯網上出現“WBCE CMS任意文件上傳漏洞（CNVD-2023-71724）、Boom CMS跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

消保課堂｜新型騙局套路深，提高警惕莫輕信

不要輕易給陌生人轉賬、匯款；不要輕信來歷不明電話和短信；不要隨意點擊不明鏈接，防止登錄釣魚網站。>>詳細

【防騙】安全用卡知識請您聽我說

針對花樣繁多、層出不窮的詐騙手段，雖然各大銀行已經配置了嚴密的賬戶安保技術和防范措施，然而，詐騙手段卻常?！胺隆?。>>詳細

中國人民銀行金融消費者權益保護典型案例

靈活運用多元解紛工具，切實化解涉農金融糾紛中的難點問題，才能將金融糾紛化解機制深入田間地頭。>>詳細

商用密碼應用安全性評估管理辦法（國家密碼管理局令第3號）

為了規范商用密碼應用安全性評估工作，保障網絡與信息安全，維護國家安全和社會公共利益，保護公民、法人和其他組織的合法權益，根據《中華人民共和國密碼法》、《商用密碼管理條例》等有關法律法規，制定本辦法。>>詳細

北京銀行持續強化消費者權益保護宣教工作

北京銀行采取多元化、趣味性的創新宣傳方式，以“進農村、進社區、進校園、進企業、進商圈”為核心，深入各個領域，聚焦“一老一小一新”人群，開展金融知識普及活動，擴大宣傳覆蓋面。>>詳細

杭銀消保講堂 | “新防詐8個凡是”之凡是要求墊付資金做任務或做任務的，都是詐騙！

消費者們務必擦亮眼睛，慧眼識騙，遠離電信網絡詐騙，遠離非法集資。>>詳細

消保 | 金融知識普及月，快來辨別潛伏詐騙

詐騙分子在游戲聊天界面、QQ群、微信群中發布低價銷售游戲幣、游戲賬號、游戲裝備、低價充值等虛假信息，并以未成年不能進行網.上交易，需要提供父母的銀行卡、微信信息為由，盜刷父母微信和銀行卡余額。>>詳細

【以案說險】提高警惕，識破騙局！

加您好友，帶您投資，承諾穩賺不賠都是圈套，千萬不要相信！理財投資請通過正規途徑。>>詳細

警惕新型蟹卡騙局

當有陌生來電準確說出你的個人信息，并告知有緊急事宜需處理、或有禮品需收取時，請保持冷靜并通過官方途徑進行核實。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年9月25日-10月8日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞562個，其中高危漏洞198個、中危漏洞296個、低危漏洞68個。漏洞平均分值為5.95。上周收錄的漏洞中，涉及0day漏洞356個（占63%），其中互聯網上出現“WBCE CMS任意文件上傳漏洞（CNVD-2023-71724）、Boom CMS跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Exchange Server是美國微軟（Microsoft）公司的一套電子郵件服務程序。它提供郵件存取、儲存、轉發，語音郵件，郵件過濾篩選等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞進行欺騙攻擊，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft SharePoint Server遠程代碼執行漏洞（CNVD-2023-72202）、Microsoft Exchange Server遠程代碼執行漏洞（CNVD-2023-72224、CNVD-2023-72225、CNVD-2023-72227、CNVD-2023-72228）、Microsoft Exchange Server欺騙漏洞（CNVD-2023-72226、CNVD-2023-72230、CNVD-2023-72231）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致越界讀取，使系統崩潰或提升他們在系統上的權限等。

CNVD收錄的相關漏洞包括：Linux Kernel拒絕服務漏洞（CNVD-2023-71723）、Linux kernel內存錯誤引用漏洞（CNVD-2023-71722）、Linux kernel條件競爭漏洞（CNVD-2023-71721）、Linux kernel smb2misc.c文件越界讀取漏洞、Linux kernel connection.c文件越界讀取漏洞、Linux kernel Ext4文件系統內存錯誤引用漏洞、Linux kernel內存錯誤引用漏洞（CNVD-2023-72243）、Linux Kernel eBPF本地權限提升漏洞。其中，“Linux kernel smb2misc.c文件越界讀取漏洞、Linux kernel connection.c文件越界讀取漏洞、Linux kernel內存錯誤引用漏洞（CNVD-2023-72243）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat Reader是美國奧多比（Adobe）公司的一款PDF查看器。該軟件用于打印，簽名和注釋PDF。Adobe Illustrator是美國奧多比（Adobe）公司的一套基于向量的圖像制作軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取NTLMv2憑據，導致應用程序拒絕服務，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Acrobat Reader緩沖區溢出漏洞（CNVD-2023-71744）、Adobe Acrobat Reader輸入驗證錯誤漏洞（CNVD-2023-71750、CNVD-2023-71749）、Adobe Acrobat Reader釋放后重用漏洞（CNVD-2023-71752、CNVD-2023-71754、CNVD-2023-71756、CNVD-2023-71759）、Adobe Illustrator越界寫入漏洞（CNVD-2023-74542）。其中，除“Adobe Acrobat Reader輸入驗證錯誤漏洞（CNVD-2023-71750）、Adobe Acrobat Reader輸入驗證錯誤漏洞（CNVD-2023-71749）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Traffic Server（ATS）是美國阿帕奇（Apache）基金會的一套可擴展的HTTP代理和緩存服務器。Apache MINA是美國阿帕奇（Apache）基金會的一款網絡應用程序框架。該產品主要用于開發高性能和高可伸縮性的網絡應用程序。Apache OFBiz是美國阿帕奇（Apache）基金會的一套企業資源計劃（ERP）系統。該系統提供了一整套基于Java的Web應用程序組件和工具。Apache Flink是美國Apache基金會的一款開源的分布式流數據處理引擎。該產品主要使用Java和Scala語言編寫。Func是Knative開源的一個客戶端庫和CLI ，支持功能的開發和部署。Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache Superset是美國阿帕奇（Apache）基金會的一個數據可視化和數據探索平臺。Apache DolphinScheduler是美國阿帕奇（Apache）基金會的一個分布式的基于DAG可視化的工作流任務調度系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，注入惡意內容到發送到用戶瀏覽器的HTTP響應中，導致服務端請求偽造攻擊等。

CNVD收錄的相關漏洞包括：Apache Traffic Server信息泄露漏洞（CNVD-2023-71727）、Apache MINA信息泄露漏洞、Apache OFBiz路徑遍歷漏洞、Apache Flink代碼注入漏洞、Apache Airflow授權問題漏洞（CNVD-2023-72233）、Apache Superset授權問題漏洞、Apache Superset REST API授權問題漏洞、Apache DolphinScheduler授權問題漏洞。其中，“Apache Traffic Server信息泄露漏洞（CNVD-2023-71727）、Apache OFBiz路徑遍歷漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Zoo Management System SQL注入漏洞（CNVD-2023-72245）

Zoo Management System是一個動物園管理系統。為動物園企業提供了一個在線和自動化平臺來管理他們的日常記錄。上周，Zoo Management System被披露存在SQL注入漏洞。攻擊者可利用該漏洞執行非法SQL命令竊取數據庫敏感數據。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞進行欺騙攻擊，在系統上執行任意代碼等。此外，Linux、Adobe、Apache等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，注入惡意內容到發送到用戶瀏覽器的HTTP響應中，導致服務端請求偽造攻擊，導致越界讀取，使系統崩潰或提升他們在系統上的權限等。另外，Zoo Management System被披露存在SQL注入漏洞。攻擊者可利用該漏洞執行非法SQL命令竊取數據庫敏感數據。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、國家金融監督管理總局、國家密碼管理局、中國銀行、中國建設銀行、北京銀行、杭州銀行微訊、西安銀行、東莞銀行、華潤銀行報道

責任編輯：韓希宇