国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞597个，互联网上出现“MonoCMS Blog信息泄露漏洞、CMS Made Simple跨站脚本漏洞（CNVD-2020-57873）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

《中华人民共和国密码法》颁布一周年

《中华人民共和国密码法》中的密码指的是采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。>>详细

金融服务如何便利？网友呼声最高的竟是这一步

用户只需要将大连银行手机银行APP更新至最新版本，并开通指纹转账功能，即可体验转账汇款时“指纹代替云证书密码”新功能。>>详细

【必看】手机丢失怎么办?

手机APP、照片、SIM卡、聊天记录等都会涉及到您的重要隐私。>>详细

腾讯安全玄武实验室报告的5G消息漏洞，该5G背锅吗？

5G消息漏洞其实与“5G消息”无关，是传统的短信模式的漏洞。>>详细

可信数字签名解决方案：助力公积金行业信息化、智能化发展

随着新技术的应用以及政策的拓宽，住房公积金的发展面临新的机遇与挑战，数字化转型成为新的思路和方向。>>详细

腾讯报告：无感支付充电桩存严重安全漏洞，有“盗刷”隐患

Blade Team安全研究员模拟攻击者身份，仅需获得模拟受害者的车辆身份标识，并使用特殊设备连接“无感支付”直流充电桩与汽车，就能利用充电桩通信协议漏洞，轻松完成“盗刷”操作。>>详细

安全威胁播报

上周漏洞基本情况

上周（10月19日-25日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞597个，其中高危漏洞235个、中危漏洞286个、低危漏洞76个。漏洞平均分值为6.20。上周收录的漏洞中，涉及0day漏洞341个（占57%），其中互联网上出现“MonoCMS Blog信息泄露漏洞、CMS Made Simple跨站脚本漏洞（CNVD-2020-57873）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe InDesign是Adobe公司的一个桌面出版(DTP)的应用程序，主要用于各种印刷品的排版编辑。Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。Adobe Animate是一款多媒体创作和计算机动画程序。Adobe Flash Player是美国奥多比（Adobe）公司的一款跨平台、基于浏览器的多媒体播放器产品。Adobe Magento是美国奥多比（Adobe）公司的一套开源的PHP电子商务系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞实现任意代码执行。

CNVD收录的相关漏洞包括：Adobe InDesign内存破坏漏洞（CNVD-2020-57855）、Adobe Animate越界读取漏洞（CNVD-2020-57863、CNVD-2020-57864）、Adobe Animate栈缓冲区溢出漏洞、Adobe Animate双重释放漏洞、Adobe After Effects越界读取漏洞（CNVD-2020-57860）、Adobe Flash Player空指针解引用漏洞、Adobe Magento文件上传列表绕过漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。Microsoft Azure是一款开放的企业级云计算平台。Windows Server是微软发布的一系列服务器操作系统的品牌名，它包括所有以“Windows Server”为品牌发布的Windows操作系统。Microsoft Visual StudioCode是美国微软（Microsoft）公司的一款开源的代码编辑器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取信息，从而进一步入侵用户系统，提交特殊的请求，在未有正确授权的情况下调用HTTP功能，导致DNS服务无响应等。

CNVD收录的相关漏洞包括：Microsoft SharePoint远程代码执行漏洞（CNVD-2020-57589）、Microsoft SharePoint信息泄露漏洞（CNVD-2020-57588）、Microsoft Azure特权提升漏洞、Microsoft SharePoint授权问题漏洞、Microsoft Windows Server拒绝服务漏洞（CNVD-2020-57795）、Microsoft SharePointServer资源管理错误漏洞、Microsoft Windows Server远程代码执行漏洞（CNVD-2020-57799）、Microsoft Visual Studio Code代码执行漏洞。其中“Microsoft Azure特权提升漏洞、Microsoft Visual StudioCode代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞漏洞获取蓝牙服务器相关信息，实现本地权限提升，执行任意代码等。

CNVD收录的相关漏洞包括：Google Android释放后重用漏洞（CNVD-2020-58104）、Google Android越界读取漏洞（CNVD-2020-58112）、Google Android整数溢出漏洞（CNVD-2020-58117）、Google Android Framework组件权限提升漏洞（CNVD-2020-58120、CNVD-2020-58119）、Google Android system组件权限提升漏洞（CNVD-2020-58121）、Google Android System权限提升漏洞（CNVD-2020-58128）、Google Android System远程代码执行漏洞（CNVD-2020-58132）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

HPE产品安全漏洞

HPE Intelligent Management Center (iMC)是美国惠普企业公司（Hewlett Packard Enterprise，HPE）的一套网络智能管理中心解决方案。上周，上述产品被披露存在表达式语言注入远程代码执行漏洞，攻击者可利用漏洞执行远程代码。

CNVD收录的相关漏洞包括：HPE Intelligent ManagementCenter (iMC) comparefilesresult表达式语言注入远程代码执行漏洞、HPE Intelligent ManagementCenter (iMC) faultdevparasset表达式语言注入远程代码执行漏洞、HPE Intelligent ManagementCenter (iMC) eventinfo_content表达式语言注入远程代码执行漏洞、HPE Intelligent ManagementCenter (iMC) adddevicetoview表达式语言注入远程代码执行漏洞、HPE Intelligent ManagementCenter (iMC) ictexpertcsvdownload表达式语言注入远程代码执行漏洞、HPE Intelligent Management Center (iMC) deployselectsoftware表达式语言注入远程代码执行漏洞、HPE Intelligent Management Center (iMC)deployselectbootrom表达式语言注入远程代码执行漏洞、HPE Intelligent ManagementCenter (iMC) devgroupselect表达式语言注入远程代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

GetSimpleCMS路径遍历漏洞

GetSimpleCMS是个人开发者的一个内容管理系统。上周，GetSimpleCMS产品被披露存在路径遍历漏洞。攻击者可利用该漏洞删除任意文件。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用该漏洞实现任意代码执行。此外，Microsoft、Google、HPE等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取蓝牙服务器相关信息，实现本地权限提升，执行任意代码等。另外，GetSimpleCMS产品被披露存在路径遍历漏洞。攻击者可利用该漏洞删除任意文件。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、新华社、第一财经、昆仑银行报道

责任编辑：韩希宇