國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞605個，互聯網上出現“Tenda AC10U setSmartPowerManagement函數堆棧緩沖區溢出漏洞、libming parseSWF_TEXTRECORD功能內存泄露漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

反洗錢小課堂丨警惕大額消費套現洗錢新手法

大多數人都以為洗錢案例不會發生在自己身邊，但隨著不法分子洗錢套路不斷迭代升級，有些人甚至在不知情的情況下被卷入其中。跟著漫畫我們一起來學習反洗錢小知識吧。>>詳細

全國投資者保護宣傳日丨姣姣說消保之科學理性投資

了解風險承受能力，做好自身風險測評，學會科學投資理財，做理性金融消費者。>>詳細

5.15全國投資者保護宣傳日｜風險評估一定要實事求是

理財非存款，業績比較基準非實際兌付收益，且高收益必然伴隨著高風險。金融消費者在確定購買理財產品前要量力而行。>>詳細

財政部 國家網信辦關于印發《會計師事務所數據安全管理暫行辦法》的通知

本辦法所稱數據，是指會計師事務所執行審計業務過程中，從外部獲取和內部生成的任何以電子或者其他方式對信息的記錄。>>詳細

金融消保在身邊 | 保障權益防風險

光大銀行提醒廣大投資者在投資過程中，需了解產品特點、風險和收益特征，根據自身需求和風險承受能力進行選擇，理性投資。市場有風險 投資須謹慎。>>詳細

金教基地 | 巧識“非法金融廣告”

保持敏感，提高甄別能力：認清非法金融廣告的危害，對于過于夸張和絕對的宣傳詞語保持高度警惕。>>詳細

手機銀行丨用行動守護你的愛-防騙安全鈴

通過設置防騙安全鈴，在父母轉賬超過預警值時，增加子女或親屬確認環，為親情賬戶設置安全預警。>>詳細

反詐丨手機兼職？小心“幫信犯罪”

所謂的“手機口”，是指將兩部手機用一根音頻對錄線連接，或同時打開外放，其中一部手機通過網絡社交軟件與詐騙分子通話，另一部則插入本地電話卡撥打受害人電話，實現語音中轉，成功掩飾詐騙電話歸屬地，來降低受害人的警惕。>>詳細

【消保以案說險】虛擬貨幣高收益？詐騙陷阱等著你！

近期，虛擬貨幣交易炒作活動有所抬頭，擾亂經濟金融秩序滋生、非法集資、詐騙等違法犯罪活動，嚴重危害人民群眾財產安全。大家要提高警惕，加強風險防范意識主動遠離虛擬貨幣交易炒作活動，避免落入相關違法犯罪陷阱，保護好自己的錢袋子。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2024年4月29日-5月12日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞605個，其中高危漏洞247個、中危漏洞339個、低危漏洞19個。漏洞平均分值為6.32。上周收錄的漏洞中，涉及0day漏洞480個（占79%），其中互聯網上出現“Tenda AC10U setSmartPowerManagement函數堆棧緩沖區溢出漏洞、libming parseSWF_TEXTRECORD功能內存泄露漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Apache產品安全漏洞

Apache Airflow是美國阿帕奇（Apache）基金會的一套用于創建、管理和監控工作流程的開源平臺。該平臺具有可擴展和動態監控等特點。Apache CloudStack是美國阿帕奇（Apache）基金會的一套基礎架構即服務（IaaS）云計算平臺。該平臺主要用于部署和管理大型虛擬機網絡。Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache HugeGraph是美國阿帕奇（Apache）基金會的一個速度快、可擴展性強的圖形數據庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過保護機制，通過配置UI頁面查看敏感信息，在系統上執行任意命令，導致內存耗盡等。

CNVD收錄的相關漏洞包括：Apache HugeGraph-Server命令執行漏洞、Apache HugeGraph-Server安全繞過漏洞、Apache HugeGraph-Hubble服務器端請求偽造漏洞、Apache Airflow FTP Provider信任管理問題漏洞、Apache Airflow信息泄露漏洞（CNVD-2024-20804）、Apache CloudStack輸入驗證錯誤漏洞（CNVD-2024-20836）、Apache CloudStack安全繞過漏洞、Apache HTTP Server資源管理錯誤漏洞。其中，除“Apache Airflow信息泄露漏洞（CNVD-2024-20804）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows USB Hub Driver是美國微軟（Microsoft）公司的一個驅動程序。Microsoft Windows Kernel是美國微軟（Microsoft）公司的Windows操作系統的內核。Microsoft Windows Kerberos是美國微軟（Microsoft）公司的一個用于在網絡集群中進行身份驗證的軟件。Kerberos同時作為一種網絡認證協議，其設計目標是通過密鑰系統為客戶機/服務器應用程序提供認證服務。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過某些功能，獲取敏感信息，提升權限，在系統上執行任意代碼，造成拒絕服務等。

CNVD收錄的相關漏洞包括：Microsoft Windows USB Hub Driver遠程代碼執行漏洞、Microsoft Windows Kernel拒絕服務漏洞、Microsoft Windows Kernel權限提升漏洞（CNVD-2024-21146、CNVD-2024-21148、CNVD-2024-21151）、Microsoft Windows Kernel信息泄露漏洞（CNVD-2024-21149、CNVD-2024-21150）、Microsoft Windows Kerberos安全功能繞過漏洞。其中，“Microsoft Windows USB Hub Driver遠程代碼執行漏洞、Microsoft Windows Kerberos安全功能繞過漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。上周，上述產品被披露存在拒絕服務漏洞，攻擊者可利用漏洞導致MySQL服務器掛起或頻繁重復崩潰。

CNVD收錄的相關漏洞包括：Oracle MySQL拒絕服務漏洞（CNVD-2024-20806、CNVD-2024-20805、CNVD-2024-20809、CNVD-2024-20808、CNVD-2024-20807、CNVD-2024-20813、CNVD-2024-20812、CNVD-2024-20811）。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。Adobe ColdFusion是美國奧多比（Adobe）公司的一套快速應用程序開發平臺。該平臺包括集成開發環境和腳本語言。Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過安全措施，獲得對敏感文件的未經授權的訪問權限，在當前用戶的上下文中執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Bridge堆緩沖區溢出漏洞（CNVD-2024-21153）、Adobe Bridge越界寫入漏洞（CNVD-2024-21154）、Adobe Bridge內存錯誤引用漏洞（CNVD-2024-21155）、Adobe ColdFusion訪問控制錯誤漏洞（CNVD-2024-21156）、Adobe InDesign越界讀取漏洞（CNVD-2024-21162、CNVD-2024-21165）、Adobe Premiere Pro堆緩沖區溢出漏洞、Adobe Premiere Pro越界寫入漏洞。其中，除“Adobe InDesign越界讀取漏洞（CNVD-2024-21162、CNVD-2024-21165）”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

TOTOLINK EX1800T langType參數命令執行漏洞

TOTOLINK EX1800T是中國吉翁電子（TOTOLINK）公司的一款Wi-Fi范圍擴展器。上周，TOTOLINK EX1800T被披露存在命令執行漏洞。攻擊者可利用該漏洞在系統上執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Apache產品被披露存在多個漏洞，攻擊者可利用漏洞繞過保護機制，通過配置UI頁面查看敏感信息，在系統上執行任意命令，導致內存耗盡等。此外，Microsoft、Oracle、Adobe等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過某些功能，獲取敏感信息，提升權限，在當前用戶的上下文中執行任意代碼，造成拒絕服務等。另外，TOTOLINK EX1800T被披露存在命令執行漏洞。攻擊者可利用該漏洞在系統上執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、網信中國、中國人民銀行深圳市分行、交通銀行、中國光大銀行私人銀行、遇見浦發、晉商銀行、漢口銀行微銀行、桂林銀行金融服務、內蒙古銀行微銀行報道

責任編輯：韓希宇