国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞405个，互联网上出现“WordPressquotes-collection插件跨站脚本漏洞、FlameCMS login.php文件SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

重磅！权威解读：人脸支付应表达用户意愿，体现资金支配权

近日，中国人民银行科技司司长李伟发文称生物识别技术正迅速在各行各业推广应用，要冷静看待生物识别技术。>>详细

信息防护小贴士助你安心过十一

作为真正上过当，踩过坑的人，现将多年踩坑经验总结传授大家，希望这些安全防护小诀窍能够减少大家“上当受骗”的概率。>>详细

银联再发文！强调移机或无法定位的受理终端会关停

要求收单成员机构应结合商户经营地址，限制移动受理终端的使用地域范围，并对监测到实际使用地址与注册登记不一致的，暂停资金结算并立即核实，防范移机套用等违规风险。>>详细

中关村银行杨乾：浅析如何构建合规安全、智能有特色的开放银行

解决安全方面问题，也要做好技术体系、用户体系和数据体系的建设：首先，在做技术体系建设的时候一定要把安全体系建设好。>>详细

专访|CFCA全流程解决方案 为汽车金融业提供基础安全保障

焉知汽车记者对中国金融认证中心（CFCA）安全技术专家左小军进行了独家专访，从行业专家的角度剖析汽车金融的发展现状。>>详细

用户遭骚扰质疑隐私被泄露 航旅纵横:有关闭的自主权

据一名网友反映，在航旅纵横上选座之后，陌生人可以看到自己的名字和头像（并且已经受到骚扰），自己也可以查询到陌生人的名字和头像，质疑航旅纵横泄露客户的隐私。>>详细

iOS 13 现严重漏洞：添加信用卡后显示陌生人信息

当添加信用卡信息后，用户会发现保存到他们个人资料中的信息并不是自己的而是来自一个完全陌生的人的。>>详细

微软：网络攻击已成企业面临的最大安全风险

2017年的时候，Marsh和微软发现有62%的受访者将网络攻击视作前五大风险。但是今年，这一数字已提升至79% 。>>详细

安全威胁播报

上周漏洞基本情况 

上周（2019年9月16日-22日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞405个，其中高危漏洞88个、中危漏洞281个、低危漏洞36个。漏洞平均分值为5.68。本周收录的漏洞中，涉及0day漏洞57个（占14%），其中互联网上出现“WordPressquotes-collection插件跨站脚本漏洞、FlameCMS login.php文件SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，该产品被披露存在远程代码执行和提权漏洞，攻击者可利用漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Microsoft WindowsCompatibility Appraiser提权漏洞、Microsoft Windows和Microsoft Windows Server提权漏洞（CNVD-2019-31845、CNVD-2019-31847、CNVD-2019-31851、CNVD-2019-31848）、Microsoft Windows Common Log File System Driver提权漏洞、Microsoft Windows Remote Desktop Client远程代码执行漏洞、Microsoft Windows Winlogon提权漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Advantech产品安全漏洞

AdvantechWebAccess/SCADA是一套基于浏览器架构的SCADA软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，上传恶意数据，执行远程代码或导致系统崩溃。

CNVD收录的相关漏洞包括：Advantech WebAccess/SCADA缓冲区溢出漏洞（CNVD-2019-32464、CNVD-2019-32466、CNVD-2019-32472、CNVD-2019-32478）、Advantech WebAccess代码注入漏洞、Advantech WebAccess代码问题漏洞、Advantech WebAccess/SCADA任意代码执行漏洞、Advantech WebAccess/SCADA授权问题漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBMSpectrum Protect（前称Tivoli Storage Manager）是一套数据保护平台。IBM Emptoris Sourcing是一套基于Web的企业采购流程管理解决方案。IBM Cognos Controller是一套商业智能与计划解决方案。IBM Sterling File Gateway是一套文件传输软件。IBM DB2是一套关系型数据库管理系统。IBM Jazz for Service Management是一款提供对服务管理环境可见性的集成服务管理产品。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞查看、添加、修改或删除后端数据库中的信息，导致拒绝服务（服务器崩溃）等。

CNVD收录的相关漏洞包括：IBM Spectrum Protect信息泄露漏洞（CNVD-2019-32054）、IBM Spectrum Protect Plus信息泄露漏洞、IBM Emptoris Sourcing信息泄露漏洞（CNVD-2019-32434）、IBM Cognos Controller信息泄露漏洞（CNVD-2019-32435、CNVD-2019-32437）、IBM Sterling File Gateway SQL注入漏洞、IBM DB2拒绝服务漏洞（CNVD-2019-32450）、IBM Jazz for Service Management信息泄露漏洞（CNVD-2019-32453）。目前，厂商已经发布了上述漏洞的修补程序。

F5产品安全漏洞

F5 BIG-IP是一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IP APM是一套访问和安全解决方案。APM Client是一套APM客户端软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行客户端代码，导致服务中断等。

CNVD收录的相关漏洞包括：F5 BIG-IP输入验证错误漏洞（CNVD-2019-32029、CNVD-2019-32030）、F5 BIG-IP Application Security Manager资源管理错误漏洞、F5 BIG-IP拒绝服务漏洞（CNVD-2019-32035）、F5 BIG-IP信任管理问题漏洞、F5 BIG-IP跨站脚本漏洞（CNVD-2019-32037）、F5 BIG-IP PEM输入验证错误漏洞、F5 BIG-IP APM和BIG-IPAPM Clients svpn权限提升漏洞。目前，厂商已经发布了上述漏洞的修补程序。

ZOHO ManageEngine Application Manager SQL注入漏洞

ZOHO ManageEngine Application Manager是一套应用程序监控管理系统。上周，ZOHO ManageEngine Application Manager被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在远程代码执行和提权漏洞，攻击者可利用漏洞提升权限，执行任意代码。此外，Advantech、IBM、F5等多款产品被披露存在多个漏洞，攻击者可利用漏洞查看、添加、修改或删除后端数据库中的信息，绕过身份验证，上传恶意数据，执行远程代码或导致系统崩溃等。另外，ZOHO ManageEngine Application Manager被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国金融电脑、移动支付网、TechWeb、cnBeta报道

责任编辑：韩希宇