國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞406個，互聯網上出現“SeaCMS跨站腳本漏洞（CNVD-2024-06149）、江西銘軟科技有限公司MCMS SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

央行發布《個人征信電子授權安全技術指南》，促進信貸業務規范發展

《指南》提到，鑒別原則為，金融機構宜以有效性為原則，充分鑒別個人身份，且僅采集身份鑒別所必需的最少信息，保護個人信息安全。>>詳細

反詐小象欺詐手法大盤點

如有陌生人通過電話、短信或網絡等方式聯系您，請保持警惕，切勿輕易相信對方身份，先核實對方說辭的真偽。>>詳細

【以案說險】卡借他人有風險，電信詐騙在身邊

當前很多不法分子利用他人銀行卡進行電信網絡詐騙和洗錢活動，為保障個人資金安全，請您提高警惕，拒絕非常規利益誘惑，避免踏入投資、傳銷陷阱。>>詳細

小鄭說反詐：警惕！電信網絡詐騙新套路

作為您的忠實伙伴，小鄭提醒大家警惕這些新型電信網絡詐騙手法，保護好自己的財產安全。>>詳細

春節返鄉，不忘反詐——多部門聯合，共宣反詐

為了提高返鄉人員的防騙意識，1月26日，由中國人民銀行桂林市分行、國家金融監督管理總局桂林監管分局、桂林市反詐中心、桂林銀行股份有限公司在桂林站聯合開展了主題為“春節返鄉，不忘反詐”的返鄉人員反詐宣傳活動。>>詳細

小泉仔講消保丨警惕“百萬保障”詐騙，慎用“屏幕共享”功能

凡是遠程取消所謂的“百萬保障”業務，要求下載指定軟件并授權手機屏幕共享權限的，均為詐騙，讓我們提高警惕，共同努力，守護好”錢袋子”。>>詳細

【以案說險】警惕非法集資 遠離高收益陷阱

在投資的世界里，"高回報"往往伴隨著"高風險"。當有人向您承諾高額收益，而所需投入似乎微不足道時，請暫停腳步，仔細思考：這真的是一個不容錯過的機會嗎? >>詳細

警惕丨古玩之名的詐騙“劇本”了解嗎

古董文玩千千萬，真真假假很難辨，謹慎對待投資品，輕易莫信“高收益”，專業機構有資質，“裝修華麗”不算數，“拍賣”‘‘鑒寶”易偽裝，事前親友多商量，一旦發現有異常，立即報警沒商量！>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年1月22日-28日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞406個，其中高危漏洞185個、中危漏洞209個、低危漏洞12個。漏洞平均分值為6.50。上周收錄的漏洞中，涉及0day漏洞316個（占78%），其中互聯網上出現“SeaCMS跨站腳本漏洞（CNVD-2024-06149）、江西銘軟科技有限公司MCMS SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

D-Link產品安全漏洞

D-Link DIR-823G是中國友訊（D-Link）公司的一款無線路由器。上周，上述產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞導致拒絕服務。

CNVD收錄的相關漏洞包括：D-Link DIR-823G緩沖區溢出漏洞（CNVD-2024-04955）、D-Link DIR-823G SetDeviceSettings函數緩沖區溢出漏洞、D-Link DIR-823G EndTime參數緩沖區溢出漏洞、D-Link DIR-823G Mac參數緩沖區溢出漏洞、D-Link DIR-823G StartTime參數緩沖區溢出漏洞、D-Link DIR-823G MacAddress參數緩沖區溢出漏洞、D-Link DIR-823G Password參數緩沖區溢出漏洞、D-Link DIR-823G Encryption參數緩沖區溢出漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Message Queuing是用于實現需要高性能的異步和同步場景的解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞從堆內存中獲取敏感信息，在系統上執行任意代碼，導致系統拒絕服務。

CNVD收錄的相關漏洞包括：Microsoft Message Queuing拒絕服務漏洞（CNVD-2024-04948、CNVD-2024-04952）、Microsoft Message Queuing信息泄露漏洞（CNVD-2024-04947、CNVD-2024-04946、CNVD-2024-04950、CNVD-2024-04949、CNVD-2024-04951）、Microsoft Message Queuing遠程代碼執行漏洞（CNVD-2024-04953）。其中，“Microsoft Message Queuing拒絕服務漏洞（CNVD-2024-04948、CNVD-2024-04952）、Microsoft Message Queuing遠程代碼執行漏洞（CNVD-2024-04953）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Trend Micro產品安全漏洞

Trend Micro Apex Central是美國趨勢科技(Trend Micro)公司的一個基于Web的產品控制臺。Trend Micro Apex One是一套能夠提供自動威脅檢測和響應功能的端點安全防護軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞注入惡意腳本或HTML代碼，提升權限，在系統上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Trend Micro Apex Central本地文件包含漏洞、Trend Micro Apex Central跨站腳本漏洞（CNVD-2024-04936、CNVD-2024-04937）、Trend Micro Apex One權限提升漏洞（CNVD-2024-04943、CNVD-2024-04942、CNVD-2024-04941、CNVD-2024-04945、CNVD-2024-04944）。其中，“Trend Micro Apex Central本地文件包含漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Experience Manager（AEM）是美國奧多比（Adobe）公司的一套可用于構建網站、移動應用程序和表單的內容管理解決方案。該方案支持移動內容管理、營銷銷售活動管理和多站點管理等。上周，上述產品被披露存在跨站腳本漏洞，攻擊者可利用漏洞通過注入精心設計的有效載荷執行任意Web腳本或HTML。

CNVD收錄的相關漏洞包括：Adobe Experience Manager跨站腳本漏洞（CNVD-2024-04927、CNVD-2024-04926、CNVD-2024-04930、CNVD-2024-04929、CNVD-2024-04928、CNVD-2024-04934、CNVD-2024-04933、CNVD-2024-04932）。目前，廠商已經發布了上述漏洞的修補程序。

Tenda A18緩沖區溢出漏洞

Tenda A18是中國騰達（Tenda）公司的一款AC1200雙頻Wi-Fi中繼器。上周，Tenda A18被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞在系統上執行任意代碼或者導致拒絕服務攻擊。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，D-Link產品被披露存在緩沖區溢出漏洞，攻擊者可利用漏洞導致拒絕服務。此外，Microsoft、Trend Micro、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞從堆內存中獲取敏感信息，注入惡意腳本或HTML代碼，提升權限，在系統上下文中執行任意代碼等。另外，Tenda A18被披露存在緩沖區溢出漏洞。攻擊者可利用漏洞在系統上執行任意代碼或者導致拒絕服務攻擊。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、移動支付網、工銀融e行、河北銀行、鄭州銀行、湖南三湘銀行、泉州銀行、桂林銀行金融服務、廣西北部灣銀行微生活報道

責任編輯：韓希宇