國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞381個，互聯網上出現“Dreamer CMS跨站請求偽造漏洞（CNVD-2024-00216）、JFinalCMS跨站腳本漏洞（CNVD-2024-00217）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【防騙】警惕這種新圈套！虛假“百萬保障”不但不保險，還會竊取錢財

不法分子非法獲取公眾個人信息并向目標人群致電，謊稱自己是“百萬保障”客服，以業務到期或目標對象誤點、重復購買等理由，誘導其點擊虛假網址，查看所謂的“百萬保障”費用頁面。>>詳細

【消?！?60°守護美好生活，平安銀行積極踐行消費者權益保護

回首2023年，平安銀行消費者權益保護以人民為中心，當好金融消費者合法權益的堅定捍衛者，一路馳騁， 滿滿風景，不負使命。>>詳細

反詐專欄 | 出借銀行賬戶的風險，您知道嗎？

在現代社會中，銀行賬戶已經成為我們生活中不可或缺的一部分，銀行賬戶安全性不容忽視。無論是為了幫助親友還是其他原因，我們都應該遵守法律規定，不出租、出借個人銀行賬戶給他人使用。>>詳細

消保為民 | 信用卡盜刷后怎么辦

信用卡作為重要的金融工具，在日常生活中使用便捷，滿足我們在支付、消費、分期等方面需要，但卻會被一些不法分子利用，存在一定的安全隱患。>>詳細

找教培前查一查，信息透明防詐騙

找教培、想避坑、就用企業快查。>>詳細

防范利用“元宇宙”新概念的新型非法集資

正是大眾對“元宇宙”的不了解和好奇心理，給了不法分子機會，以“元宇宙”的名頭吸收資金，涉嫌非法集資、詐騙等違法犯罪活動。>>詳細

【反詐宣傳】歲末年終，如何守護老年人的錢袋子？

臨近年關，是詐騙案件的高發期，關心長者的支付安全問題，為他們營造一個安全、幸福的數字社會，是我們義不容辭的責任。>>詳細

防詐|警惕詐騙分子，向學生伸出罪惡之手

家長們除了監督好孩子的學習生活，也需提醒孩子不要輕信網上的陌生人，對于陌生信息一律無視，做到不看、不點、不信。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年1月1日-7日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞381個，其中高危漏洞153個、中危漏洞209個、低危漏洞19個。漏洞平均分值為6.18。上周收錄的漏洞中，涉及0day漏洞315個（占83%），其中互聯網上出現“Dreamer CMS跨站請求偽造漏洞（CNVD-2024-00216）、JFinalCMS跨站腳本漏洞（CNVD-2024-00217）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。上周，上述產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞通過注入精心設計的有效載荷執行任意Web腳本或HTML。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2024-00337、CNVD-2024-00336、CNVD-2024-00335、CNVD-2024-00339、CNVD-2024-00338、CNVD-2024-00342、CNVD-2024-00341、CNVD-2024-00340）。目前，廠商已經發布了上述漏洞的修補程序。CNVD提醒用戶及時下載補丁更新，避免引發漏洞相關的網絡安全事件。目前，廠商已經發布了上述漏洞的修補程序。

DELL產品安全漏洞

Dell Virtual Appliance Manager是美國戴爾（Dell）公司的一個虛擬設備管理器。Dell Networking OS10是一款交換機。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從目標系統讀取任意文件，在受影響的系統上執行任意操作系統命令，導致網絡中斷等。

CNVD收錄的相關漏洞包括：Dell Virtual Appliance Manager命令注入漏洞（CNVD-2024-00186、CNVD-2024-00189、CNVD-2024-00185、CNVD-2024-00188）、Dell Virtual Appliance Manager任意文件讀取漏洞（CNVD-2024-00187、CNVD-2024-00191）、Dell Virtual Appliance Manager信息泄露漏洞、Dell Networking OS10拒絕服務漏洞。其中，除“Dell Virtual Appliance Manager任意文件讀取漏洞（CNVD-2024-00187）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限。

CNVD收錄的相關漏洞包括：Google Android信息泄露漏洞（CNVD-2024-00159、CNVD-2024-00160、CNVD-2024-00161、CNVD-2024-00162、CNVD-2024-00163、CNVD-2024-00164、CNVD-2024-00165）、Google Android權限提升漏洞（CNVD-2024-00665）。其中，“Google Android權限提升漏洞（CNVD-2024-00665）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Dynamics 365是美國微軟（Microsoft）公司的一套適用于跨國企業的ERP業務解決方案。該產品包括財務管理、生產管理和商業智能管理等。Microsoft Dynamics 365 (on-premises)是一組智能商業應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行跨站腳本攻擊，導致系統拒絕服務。

CNVD收錄的相關漏洞包括：Microsoft Dynamics 365 (on-premises)跨站腳本漏洞（CNVD-2024-00197、CNVD-2024-00201、CNVD-2024-00200、CNVD-2024-00199、CNVD-2024-00198、CNVD-2024-00203、CNVD-2024-00202）、Microsoft Dynamics 365 for Finance and Operations拒絕服務漏洞。其中，除“Microsoft Dynamics 365 (on-premises)跨站腳本漏洞（CNVD-2024-00198）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link Go-RT-AC750命令注入漏洞

D-Link GO-RT-AC750是中國友訊（D-Link）公司的一款無線雙頻簡易路由器。上周，D-Link Go-RT-AC750被披露存在命令注入漏洞。攻擊者可利用該漏洞在系統上執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞通過注入精心設計的有效載荷執行任意Web腳本或HTML。此外，DELL、Google、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行跨站腳本攻擊，在受影響的系統上執行任意操作系統命令，導致系統拒絕服務。另外，D-Link Go-RT-AC750被披露存在命令注入漏洞。攻擊者可利用漏洞在系統上執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國工商銀行、平安銀行、恒豐銀行總行、杭州銀行微訊、晉商銀行、廣東農信、廣州農村商業銀行、鄞州銀行報道

責任編輯：韓希宇