國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞488個，互聯網上出現“WordPress插件WCFM Marketplace跨站腳本漏洞、Hospital Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

防范電信網絡詐騙——企業對公賬戶新騙術早知道

近期，不法分子以低息貸款、投資、收購等名義騙取企業支付工具用于資金詐騙的案件頻發，請企業高度重視、加強防范。>>詳細

以案說險 | 謹防“低利率”貸款詐騙套路

請通過銀行正規網點和官方APP咨詢和辦理個人貸款業務。牢記銀行不會向借款人收取“服務費”“手續費”等。>>詳細

【反詐】網上購物買年貨，這些騙局要注意

正規渠道來交易，私下付款藏貓膩，折扣信息別輕信，虛假平臺要當心，面對超高中獎率，沖昏頭腦是大忌，蠅頭小利是誘餌，詐騙錢財是目的。>>詳細

防詐|年前購物熱潮，詐騙“重頭戲”來了

在線上購物時，要謹防“提高銷量、刷信譽度、增加好評”等“兼職”廣告，千萬不要抱著好奇的心態去嘗試，從而掉入陷阱。>>詳細

【錦囊】消保偵探社，真相大揭秘

不法分子以“保本高息”虛假宣傳吸引消費者，通過社交軟件添加好友，將其拉入“投資"群聊，然后冒充投資導師、理財專家，以“投資暴富案例”“直播課”騙取消費者信任，再以有“內部消息”“會員渠道”“特殊資源”等誘騙消費者參與投資。>>詳細

【消保黔行】了解征信知識，守護“經濟身份證”！

征信報告主要包含個人基本信息、信息概要、信貸交易信息明細、非信貸交易信息明細、公共信息明細、查詢記錄這六大塊內容。>>詳細

安全課堂 | 春節假期出行，謹防“機票退改簽”詐騙！

涉及付款時，不法分子往往會引導乘客通過輸入驗證碼、轉賬的方式實施詐騙，遇到轉賬要求應馬上拒絕，切勿提供自己的銀行卡號、短信驗證碼等信息。>>詳細

消保為民 | 防范銀行卡盜刷風險

不要輕信各種名義的“福利”，不要通過網絡提供自己的身份信息及支付信息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年1月15日-21日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞488個，其中高危漏洞197個、中危漏洞261個、低危漏洞30個。漏洞平均分值為6.29。上周收錄的漏洞中，涉及0day漏洞348個（占71%），其中互聯網上出現“WordPress插件WCFM Marketplace跨站腳本漏洞、Hospital Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Tenda產品安全漏洞

Tenda AX1803是中國騰達（Tenda）公司的一款雙頻千兆WIFI6路由器。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞在系統上執行任意代碼或者導致拒絕服務。

CNVD收錄的相關漏洞包括：Tenda AX1803緩沖區溢出漏洞（CNVD-2024-02208、CNVD-2024-02211、CNVD-2024-02210、CNVD-2024-02209、CNVD-2024-02214、CNVD-2024-02213、CNVD-2024-02212、CNVD-2024-02217）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Substance 3D Stager是美國奧多比（Adobe）公司的一個虛擬3D工作室。Adobe RoboHelp Server是面向FrameMaker和RoboHelp企業用戶的基于服務器的應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞查看、添加、修改或刪除后端數據庫中的信息，系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Substance 3D Stager越界讀取漏洞（CNVD-2024-02723、CNVD-2024-02724、CNVD-2024-02725、CNVD-2024-02726、CNVD-2024-02727）、Adobe RoboHelp Server SQL注入漏洞、Adobe RoboHelp Server信息泄露漏洞、Adobe RoboHelp Server路徑遍歷漏洞。其中，“Adobe RoboHelp Server信息泄露漏洞、Adobe RoboHelp Server路徑遍歷漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2024-02335）、Google Android代碼執行漏洞（CNVD-2024-02336、CNVD-2024-02677）、Google Android信息泄露漏洞（CNVD-2024-02678、CNVD-2024-02704、CNVD-2024-02705、CNVD-2024-02706、CNVD-2024-02707）。其中，“Google Android權限提升漏洞（CNVD-2024-02335）、Google Android代碼執行漏洞（CNVD-2024-02336、CNVD-2024-02677）、Google Android信息泄露漏洞（CNVD-2024-02704）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft .NET是一個致力于敏捷軟件開發、快速應用開發、平臺無關性和網絡透明化的軟件框架。Microsoft Excel是美國微軟（Microsoft）公司的一款Office套件中的電子表格處理軟件。Microsoft Office是美國微軟（Microsoft）公司的一款辦公軟件套件產品。該產品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取SYSTEM權限，在系統上執行任意代碼等。

CNVD收錄的相關漏洞包括：Microsoft .NET拒絕服務漏洞（CNVD-2024-02713）、Microsoft Excel執行代碼漏洞、Microsoft Excel安全功能繞過漏洞（CNVD-2024-02715）、Microsoft Office執行代碼漏洞（CNVD-2024-02716、CNVD-2024-02722）、Microsoft Office安全功能繞過漏洞（CNVD-2024-02717、CNVD-2024-02720）、Microsoft Office權限提升漏洞（CNVD-2024-02721）。其中，除“Microsoft Office安全功能繞過漏洞（CNVD-2024-02720）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TRENDnet TV-IP1314PI緩沖區溢出漏洞

TRENDnet TV-IP1314PI是美國趨勢網絡（TRENDnet）公司的一款無線網絡攝像機。上周，TRENDnet TV-IP1314PI被披露存在緩沖區溢出漏洞，攻擊者可利用該漏洞導致任意命令執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Tenda產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞在系統上執行任意代碼或者導致拒絕服務。此外，Adobe、Google、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全限制，獲取敏感信息，提升權限，在系統上執行任意代碼等。另外，TRENDnet TV-IP1314PI被披露存在緩沖區溢出漏洞，攻擊者可利用該漏洞導致任意命令執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中信銀行、遇見浦發、北京銀行微銀行、江蘇銀行、晉商銀行、貴州銀行、廣東農信報道

責任編輯：韓希宇