国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞481个，互联网上出现“Open eClass SQL注入漏洞、Exhibitor命令注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工信部开展纵深推进APP侵害用户权益专项整治行动

重点整治APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息的行为。>>详细

网信办等四部门：推进App个人信息安全认证工作

中央网信办、工业和信息化部、公安部、国家市场监管总局四部门7月22日在京召开会议，启动2020年App违法违规收集使用个人信息治理工作。>>详细

银行二维码收单业务洗钱风险防控

以二维码支付后再返还资金达到套现目的，最危险的是不法分子将二维码收单业务用于掩饰网赌、色情平台等犯罪所得并进行漂白，给银行的反洗钱工作带来巨大风险。>>详细

央行福州支行：停止银行账户开户数量考核 推进生物验证身份应用

人民银行福州中心支行印发《关于进一步做好银行账户管理有关工作的通知》（福银〔2020〕141号），进一步加强账户开立、交易管控、异常监测等环节的银行账户风险管理，继续压实银行账户管理主体责任。>>详细

【知识普及】银行拒绝开户、禁止提供金融服务的制度依据

你是否遇到过银行拒绝你的开户请求？是否遇到过银行拒绝你的交易请求？这样做银行是否合理、是否有权这样做？>>详细

关于《网络安全标准实践指南—移动互联网应用程序（App）系统权限申请使用指引（征求意见稿）》公开征求意见的通知

为帮助App运营者规范App系统权限申请和使用行为，防范因系统权限不当利用造成的个人信息安全风险，秘书处组织编制了《网络安全标准实践指南—移动互联网应用程序（App）系统权限申请使用指引（征求意见稿）》。>>详细

关于征求《信息安全技术 SM9密码算法使用规范》等3项国家标准意见的通知

全国信息安全标准化技术委员会归口的《信息安全技术 SM9密码算法使用规范》等3项国家标准现已形成标准征求意见稿。>>详细

安全威胁播报

上周漏洞基本情况

上周（7月20日-26日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞481个，其中高危漏洞147个、中危漏洞290个、低危漏洞44个。漏洞平均分值为5.75。上周收录的漏洞中，涉及0day漏洞204个（占42%），其中互联网上出现“Open eClass SQL注入漏洞、Exhibitor命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows和MicrosoftWindows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Excel是一款Office套件中的电子表格处理软件。Microsoft Visual StudioCode是的一款开源的代码编辑器。Microsoft OneDrive是一款云备份应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞创建管理员账户，获取权限，执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft Windows Runtime权限提升漏洞（CNVD-C-2020-159267、CNVD-C-2020-159268、CNVD-2020-40883）、Microsoft Windows远程代码执行漏洞（CNVD-2020-40876）、Microsoft Remote Desktop Client远程代码执行漏洞、Microsoft Excel缓冲区溢出漏洞（CNVD-2020-41714）、Microsoft Visual Studio Code ESLint Extention命令注入漏洞、Microsoft OneDrive提权漏洞。其中，除 “Microsoft Windows Runtime权限提升漏洞（CNVD-C-2020-159267、CNVD-C-2020-159268、CNVD-2020-40883）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Business Client是德国思爱普（SAP）公司的一款用户界面客户端程序。SAP Business ObjectsBusiness Intelligence Platform是一套商业智能软件和企业绩效解决方案套件。SAP Master Data Governance是一套用于维护、验证和分发主数据的数据管理工具。SAP Netweaver是一套面向服务的集成化应用平台。SAP Process Integration是一种中间件，可使SAP与公司中的非SAP应用程序或公司外部的系统进行无缝集成。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞登录中央管理控制台，获取敏感信息，执行任意代码等。

CNVD收录的相关漏洞包括：SAP Business Client代码问题漏洞、SAP Business Objects Business Intelligence Platform访问控制错误漏洞、SAP Master Data Governance SQL注入漏洞、SAP NetWeaver AS ABAP和ABAPPlatform信息泄露漏洞、SAP Business ObjectsBusiness Intelligence Platform跨站脚本漏洞（CNVD-2020-41739、CNVD-2020-41879）、SAP Process Integration PIRest Adapter跨站脚本漏洞、SAP Netweaver路径遍历漏洞。其中，“SAP Business Objects Business Intelligence Platform访问控制错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoRV110W Wireless-N VPN Firewall是美国思科（Cisco）公司的一款企业级路由器。Cisco RV340 Dual WAN Gigabit VPN Router是一款小型VPN设备。Cisco SD-WAN vManageSoftware是一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。Cisco Vision Dynamic Signage Director是一套端到端的动态标牌和IPTV解决方案。Cisco SD-WAN vEdge 5000Series Routers是SD-WAN解决方案路由设备。Cisco Enterprise NFV Infrastructure Software（NFVIS）是一套NVF基础架构软件平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：多款Cisco产品缓冲区溢出漏洞（CNVD-2020-41233）、多款Cisco产品任意代码执行漏洞、Cisco SD-WAN vManageSoftware XML外部实体注入漏洞、Cisco Vision DynamicSignage Director SQL注入漏洞、Cisco SD-WAN vEdge 5000Series Routers和SD-WAN vEdge Cloud Router拒绝服务漏洞、Cisco Enterprise NFV Infrastructure Software路径遍历漏洞（CNVD-2020-41804）、Cisco SD-WAN vManageSoftware SQL注入漏洞、Cisco SD-WAN vManageSoftware后置链接漏洞。其中，除 “Cisco SD-WAN vManageSoftware SQL注入漏洞、Cisco SD-WAN vManageSoftware后置链接漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat和Reader都是美国奥多比（Adobe）公司的产品。Adobe Acrobat是一套PDF文件编辑和转换工具。Reader是一套PDF文档阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全功能，执行任意代码，导致拒绝服务。

CNVD收录的相关漏洞包括：多款Adobe产品安全绕过漏洞（CNVD-2020-41473、CNVD-2020-41472、CNVD-2020-41474、CNVD-2020-41475）、多款Adobe产品越界写入漏洞（CNVD-2020-41476、CNVD-2020-41477）、多款Adobe产品空指针漏洞、Adobe Acrobat和Reader存在逻辑缺陷漏洞。其中，“Adobe Acrobat和Reader存在逻辑缺陷漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache Kylin SQL注入漏洞

Apache Kylin是美国阿帕奇（Apache）软件基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。上周，Apache Kylin被披露存在SQL注入漏洞。该漏洞源于基于数据库的应用缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞创建管理员账户，获取权限，执行任意代码等。此外，SAP、Cisco、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全功能，获取敏感信息，执行任意代码，导致拒绝服务等。另外，Apache Kylin被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信部、中国网信网、中国人民银行福州中支、全国信息安全标准化技术委员会、第一财经、上行快线报道

责任编辑：韩希宇