國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞531個，互聯網上出現“PortlandLabs Concrete CMS自定義標簽字段跨站腳本漏洞、Dreamer CMS跨站請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【消?！啃庞脠蟾嬗小板e誤” 異議申請來處理

征信課堂開課啦！信用報告出現錯誤記錄該怎么辦？今天的課堂將帶大家全面了解信用報告異議申請解決辦法。>>詳細

【防騙】數字人小璇的“私藏”反詐秘籍

網絡世界精彩紛呈，但華麗的背后往往是充滿陷阱，各種詐騙手段層出不窮，讓人防不勝防。別擔心，小璇今天就拿出私藏的防騙指南，讓我們一起應對詐騙！>>詳細

反詐手記 | 賬戶轉讓能輕松掙錢？當心落入詐騙陷阱！

大家要提高信息保護意識，切莫貪圖小利買賣、出租、出借銀行賬戶，從而成為電信網絡詐騙犯罪分子的幫兇，走上違法犯罪的道路。>>詳細

【反洗錢】信用卡“代還”陷阱，尊嘟假嘟？

為減輕當前還款壓力，可以向發卡銀行申請辦理分期業務或在到期還款日前歸還最低還款額。>>詳細

江蘇銀行：緊密聯動 開展反黑反詐主題宣教活動

由于金融黑產活動具有復雜性和隱蔽性，單靠金融行業自身的力量很難有效打擊。>>詳細

【2023年金融消費者權益保護教育宣傳月】警惕“兒童電話手表”新型詐騙

在沒有家長或老師的陪伴下，小朋友不要隨意外借電話手表或手機等通訊工具。>>詳細

安全課堂 | 警惕！客服來電喊你退“會員”是騙局

以“電商直播會員”不取消會自動扣費、影響征信為由，引導操作“轉賬匯款”的都是詐騙。切記，不要輕易向陌生賬號轉賬匯款，謹防上當受騙。>>詳細

柳州銀行信用卡安全用卡小提示

請勿隨意在第三方APP上綁定您的卡片信息，將卡號、卡片有效期、安全碼、動態驗證碼等重要信息透露給第三方，以防卡片信息泄露。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2023年12月4日-10日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞531個，其中高危漏洞237個、中危漏洞257個、低危漏洞37個。漏洞平均分值為6.26。上周收錄的漏洞中，涉及0day漏洞449個（占85%），其中互聯網上出現“PortlandLabs Concrete CMS自定義標簽字段跨站腳本漏洞、Dreamer CMS跨站請求偽造漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上獲得提升的權限。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2023-96075、CNVD-2023-96077、CNVD-2023-96079、CNVD-2023-96080、CNVD-2023-96081、CNVD-2023-96082、CNVD-2023-96084）、Google Android信息泄露漏洞（CNVD-2023-96083）。其中，除“Google Android信息泄露漏洞（CNVD-2023-96083）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Premiere Pro是美國奧多比（Adobe）公司的一套非線性編輯的視頻剪輯軟件。Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在當前用戶的上下文中執行代碼，或導致應用程序崩潰。

CNVD收錄的相關漏洞包括：Adobe Premiere Pro越界讀取漏洞（CNVD-2023-95449、CNVD-2023-95448）、Adobe Premiere Pro緩沖區溢出漏洞（CNVD-2023-95451）、Adobe Premiere Pro越界寫入漏洞（CNVD-2023-95450）、Adobe Photoshop越界讀取漏洞（CNVD-2023-95524、CNVD-2023-95528、CNVD-2023-95526、CNVD-2023-95525）。其中，“Adobe Premiere Pro越界讀取漏洞（CNVD-2023-95449、CNVD-2023-95448）、Adobe Premiere Pro緩沖區溢出漏洞（CNVD-2023-95451）、Adobe Premiere Pro越界寫入漏洞（CNVD-2023-95450）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM CICS TX是美國國際商業機器（IBM）公司的一個綜合的、單一的事務運行時包。IBM Cloud Pak for Security是美國國際商業機器（IBM）公司的一款應用軟件。一個開放的安全平臺，可連接到您現有的數據源以產生更深刻的見解，并使您能夠更快地采取自動化行動。IBM Sterling Partner Engagement Manager（PEM）是一種供應鏈合作伙伴管理解決方案，可以為企業和其供應鏈合作伙伴帶來提高效率和準確性、增強可見性和透明度等。IBM AIX（Advanced Interactive eXecutive）是 IBM 公司開發的基于UNIX的操作系統。IBM Security Verify Governance是美國國際商業機器（IBM）公司的一個智能身份訪問平臺。為組織提供了一個平臺來分析、定義和控制用戶訪問和訪問風險。IBM InfoSphere Information Server是美國國際商業機器（IBM）公司的一套數據整合平臺。該平臺可用于整合各種渠道獲取的數據信息。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致拒絕服務等。

CNVD收錄的相關漏洞包括：IBM CICS TX Advanced弱算法漏洞、IBM Cloud Pak for Security and IBM QRadar Suite Software信息泄露漏洞、IBM Sterling Partner Engagement Manager跨站腳本漏洞（CNVD-2023-95294）、IBM AIX拒絕服務漏洞（CNVD-2023-95293）、IBM CICS TX跨站請求偽造漏洞（CNVD-2023-95292）、IBM CICS TX跨站腳本漏洞（CNVD-2023-95291）、IBM Security Verify Governance硬編碼漏洞、IBM InfoSphere Information Server輸入驗證錯誤漏洞。其中，“IBM CICS TX Advanced弱算法漏洞、IBM InfoSphere Information Server輸入驗證錯誤漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit Reader是中國福昕（Foxit）公司的一款PDF文檔閱讀器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Foxit Reader任意文件創建漏洞（CNVD-2023-96087、CNVD-2023-96090）、Foxit Reader類型混淆漏洞（CNVD-2023-96088）、Foxit Reader代碼執行漏洞（CNVD-2023-96089、CNVD-2023-96093）、Foxit Reader內存錯誤引用漏洞（CNVD-2023-96091、CNVD-2023-96092、CNVD-2023-96094）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Open5GS拒絕服務漏洞（CNVD-2023-96086）

Open5GS是一個5G Core和Epc的C語言開源實現，即Lte/Nr網絡的核心網絡。上周，Open5GS被披露存在拒絕服務漏洞。該漏洞是由于ogs_sbi_message_free函數中的無效指針釋放缺陷，攻擊者可利用該漏洞導致服務中斷。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在系統上獲得提升的權限。此外，Adobe、IBM、Foxit等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在當前用戶的上下文中執行代碼，導致拒絕服務等。另外，Open5GS被披露存在拒絕服務漏洞。攻擊者可利用漏洞導致服務中斷。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、中信銀行、中國光大銀行、浙商銀行、北京銀行微銀行、泉州銀行、柳州銀行報道

責任編輯：韓希宇