國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞375個，互聯網上出現“GetSimpleCMS跨站腳本漏洞、livehelperchat跨站腳本漏洞（CNVD-2023-86325）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

電信詐騙套路深，日常防范要走心

下載登錄云閃付APP，APP內搜索“一鍵查卡”提供銀行卡數量、每張卡的銀行名稱等查詢。>>詳細

【金融消保技能提升月】電信詐騙套路深，學習知識好防身

近年來，電信網絡詐騙高發，騙子花樣也在不斷翻新，即使花樣再變，學會以下公式，眼“看穿” 他們！>>詳細

衡水銀行深入開展“2023年金融消費者權益保護教育宣傳月”活動

做好消費者權益保護工作，既是商業銀行義不容辭的天職和本分，也是提升自身經營發展水平的客觀要求。>>詳細

消保小課堂丨電信詐騙風險提示

不要相信不切實際的投資回報，更不能輕易將資金交由他人代理操作投資，防止上當受騙。如有投資需求，應當選擇正規、合法的投資渠道。>>詳細

【金融知識進鄉村】識別鄉村常見非法集資騙局

一些不法機構以“三農”為噱頭，存在非法集資、金融詐騙等風險隱患。>>詳細

企業服務｜云證通——企業手機銀行即需即用貼心服務鑰匙

“云證通”是一款通過云端下載的數字證書，用手機即可完成證書的存儲和認證，大大提升了手機銀行的安全性。>>詳細

蒙銀“心”驛站帶您學消保 | 注意！非法集資套路又“翻新”

新型的模式和手段仍然在不斷出現，更加復雜，更加具有迷惑性，需要引起社會重視。>>詳細

年末網購防騙指南請收好，教你放心買買買

雙十一購物節剛剛過去，雙十二馬上又要來臨，大家在開心“買買買”之余，也要注意提高警惕，以免落入詐騙分子設計的圈套。小燕特別整理了一份“年末購物防騙指南”，幫助大家輕松識破常見網購詐騙套路。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年11月13日-19日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞375個，其中高危漏洞140個、中危漏洞212個、低危漏洞23個。漏洞平均分值為6.27。上周收錄的漏洞中，涉及0day漏洞301個（占80%），其中互聯網上出現“GetSimpleCMS跨站腳本漏洞、livehelperchat跨站腳本漏洞（CNVD-2023-86325）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Dynamics 365是美國微軟（Microsoft）公司的一套適用于跨國企業的ERP業務解決方案。該產品包括財務管理、生產管理和商業智能管理等。Microsoft Office Visio是美國微軟（Microsoft）公司的Office軟件系列中的負責繪制流程圖和示意圖的軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft Dynamics 365 (On-Premises)信息泄露漏洞（CNVD-2023-85889）、Microsoft Office Visio遠程代碼執行漏洞（CNVD-2023-85900、CNVD-2023-85901、CNVD-2023-85902、CNVD-2023-85904、CNVD-2023-85905、CNVD-2023-85906）、Microsoft Office Visio信息泄露漏洞。其中，除“Microsoft Dynamics 365 (On-Premises)信息泄露漏洞（CNVD-2023-85889）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Firepower Management Center（FMC）是美國思科（Cisco）公司的新一代防火墻管理中心軟件。Cisco Secure Network Analytics (Stealthwatch) 是支持跨平臺的網絡流數據收集的解決方案。Cisco Small Business Series Switches是美國思科（Cisco）公司的交換機產品。Cisco IOS XE Software是美國思科（Cisco）公司的一個操作系統。用于企業有線和無線訪問，匯聚，核心和WAN的單一操作系統，Cisco IOS XE降低了業務和網絡的復雜性。Cisco Firepower Management Center（FMC）是美國思科（Cisco）公司的新一代防火墻管理中心軟件。Cisco Nexus Dashboard是美國思科（Cisco）公司的一個單一控制臺。能夠簡化數據中心網絡的運營和管理。Cisco Finesse是美國思科（Cisco）公司的一套呼叫中心管理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在受影響的設備上執行代碼，造成拒絕服務。

CNVD收錄的相關漏洞包括：Cisco Firepower Management Center跨站腳本漏洞（CNVD-2023-85951、CNVD-2023-85950、CNVD-2023-85952）、Cisco Secure Network Analytics遠程代碼執行漏洞（CNVD-2023-85955）、Cisco Small Business Series Switches堆緩沖區溢出漏洞、Cisco IOS XE存在命令注入漏洞、Cisco Nexus Dashboard拒絕服務漏洞、Cisco Finesse拒絕服務漏洞。其中，除“Cisco Firepower Management Center跨站腳本漏洞（CNVD-2023-85951、CNVD-2023-85950、CNVD-2023-85952）”外，其余的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼，導致系統拒絕服務等。

CNVD收錄的相關漏洞包括：Apache Airflow信息泄露漏洞（CNVD-2023-85609、CNVD-2023-85611、CNVD-2023-85610、CNVD-2023-85612、CNVD-2023-85617）、Apache Airflow代碼執行漏洞（CNVD-2023-85614、CNVD-2023-85613）、Apache Airflow代碼問題漏洞（CNVD-2023-85615）。其中，“Apache Airflow代碼執行漏洞（CNVD-2023-85614、CNVD-2023-85613）、Apache Airflow代碼問題漏洞（CNVD-2023-85615）、Apache Airflow信息泄露漏洞（CNVD-2023-85617）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

SIMATIC PCS neo是一種分布式控制系統（DCS）。COMOS是一個用于協同工廠設計、運營和管理的統一數據平臺，支持在整個工廠生命周期內收集、處理、保存和分發信息。Mendix是一個高生產力的應用程序平臺，能夠大規模構建和持續改進移動和web應用程序。SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224是工業路由器。SCALANCE W產品是用于連接工業組件的無線通信設備，如可編程邏輯控制器（PLC）或人機界面（HMI），符合IEEE 802.11標準（802.11ac、802.11a/b/g/h 和/或 802.11n）。SCALANCE W-1700產品是基于IEEE 802.11ac標準的無線通信設備。它們用于連接各種WLAN設備（接入點或客戶端，取決于操作模式），重點關注工業組件，如可編程邏輯控制器（PLC）或人機界面（HMI）等。SCALANCE X交換機用于連接可編程邏輯控制器（PLC）或人機界面（HMI）等工業組件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在基礎數據庫中執行SQL語句，提升權限，執行任意代碼或造成拒絕服務等。

CNVD收錄的相關漏洞包括：Siemens SIMATIC PCS neo跨站腳本漏洞、Siemens COMOS訪問控制錯誤漏洞（CNVD-2023-86339）、Siemens SIMATIC PCS neo身份驗證錯誤漏洞、Siemens SIMATIC PCS neo SQL注入漏洞、Siemens Mendix認證繞過漏洞、Siemens COMOS緩沖區溢出漏洞（CNVD-2023-86341）、Siemens COMOS訪問控制錯誤漏洞、多款Siemens產品輸入驗證錯誤漏洞（CNVD-2023-86591）。其中，“Siemens COMOS訪問控制錯誤漏洞（CNVD-2023-86339）、Siemens COMOS緩沖區溢出漏洞（CNVD-2023-86341）、Siemens COMOS訪問控制錯誤漏洞、多款Siemens產品輸入驗證錯誤漏洞（CNVD-2023-86591）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IceCMS跨站請求偽造漏洞

IceCMS是一個基于Spring Boot + Vue前后端分離的內容管理系統。上周，IceCMS被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞偽造惡意請求誘騙受害者點擊執行敏感操作。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上執行任意代碼。此外，Cisco、Apache、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在基礎數據庫中執行SQL語句，獲取敏感信息，提升權限，執行任意代碼或造成拒絕服務等。另外，IceCMS被披露存在跨站請求偽造漏洞。攻擊者可利用該漏洞偽造惡意請求誘騙受害者點擊執行敏感操作。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、浦發銀行信用卡、渤海銀行、衡水銀行、內蒙古銀行、蒙商銀行、桂林銀行金融服務、江西銀行、常熟農商銀行報道

責任編輯：韓希宇