国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞293个，互联网上出现“Wordpress Theme Wibar'Brand Component'跨站脚本漏洞、WordPress插件Heroic Knowledge Base SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工信部如何加强APP个人信息保护？精彩H5带你快速了解！

工业和信息化部从政策体系、标准制定、专项行动、技术平台、行业自律等五方面构建了较为完备的综合治理体系，APP个人信息保护工作取得积极进展。>>详细

量子安全通话服务明年试点 专家称普通用户需求不大

当今世界高度互联，依靠手机处理和存储大量的个人数据，移动应用程序也收集了越来越多包括密码在内的敏感信息，这增加了用户对于边缘安全性的需求。>>详细

中国信通院与数字中国产业发展联盟联合发布《2020年数字安全十大产业方向、十大技术赛道研究报告》

经过遴选，2020年数字安全十大产业方向为工业互联网安全、物联网安全、关键信息基础设施安全、云安全、人工智能安全、智慧城市安全、5G应用安全、大数据安全、车联网安全、智慧医疗安全。>>详细

五部委联合发布《关于依法严厉打击惩戒治理非法买卖电话卡银行卡违法犯罪活动的通告》（附全文）

截至目前，全国共打掉“两卡”违法犯罪团伙4592个，抓获违法犯罪人员7.1万名，惩戒5.7万名非法出租、出借、出售、购买“两卡”人员，取得了阶段性成效。>>详细

工信部通报下架26款侵害用户权益APP

依据《网络安全法》和《移动智能终端应用软件预置和分发管理暂行规定》（工信部信管〔2016〕407号）等法律和规范性文件要求，工业和信息化部组织对上述26款APP进行下架。>>详细

【谨防诈骗】防范金融诈骗攻略

年底了，小编梳理一些常见的诈骗小案例，请大家查收并转发，保护好自己“钱袋子”的最好方法，就是提高防骗意识哦。>>详细

安全 | 老年人如何防范欺诈？小泸给你支个招！

人到老年，本应享受天伦之乐，但却有不少骗子盯上了，老人辛苦积攒的养老钱，利用他们对金融知识的不熟悉，实施欺诈，那么老年人该如何防范呢？这份防骗指南请收下！>>详细

安全威胁播报

上周漏洞基本情况

上周（12月7日-13日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞293个，其中高危漏洞142个、中危漏洞134个、低危漏洞17个。漏洞平均分值为6.43。上周收录的漏洞中，涉及0day漏洞195个（占67%），其中互联网上出现“Wordpress Theme Wibar'Brand Component'跨站脚本漏洞、WordPress插件Heroic Knowledge Base SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

Siemens产品安全漏洞

Siemens LOGO! 8 BM是一个用于工业环境用于Windows平台的编程软件。Siemens XHQ是一种软件平台，它汇集了工厂或管道运营数据，并对这些数据进行面向目标的处理，然后实时地做出决策，并有效提升工厂或管道运营绩效。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，进行跨站请求伪造攻击等。

CNVD收录的相关漏洞包括：Siemens LOGO! 8 BM授权问题漏洞、Siemens XHQ跨站请求伪造漏洞（CNVD-2020-70927）、Siemens LOGO! 8 BM信息泄露漏洞、Siemens XHQ SQL注入漏洞、Siemens XHQ跨站脚本漏洞（CNVD-2020-70928、CNVD-2020-70932、CNVD-2020-70931）、Siemens XHQ信息泄露漏洞。其中，除“Siemens LOGO! 8 BM授权问题漏洞、Siemens LOGO! 8 BM信息泄露漏洞、Siemens XHQ信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle Universal Work Queue是一种灵活的工作演示和访问工具。Oracle WebLogic Server是一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。Oracle Database Server是一套关系数据库管理系统。Oracle MySQL是一套开源的关系数据库管理系统。Oracle Fusion Middleware（Oracle融合中间件）是一套面向企业和云环境的业务创新平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞影响数据的机密性、完整性和可用性。

CNVD收录的相关漏洞包括：Oracle Universal WorkQueue代码执行漏洞、Oracle WebLogic ServerConsole远程代码执行漏洞、Oracle Database ServerVault component未授权访问漏洞、Oracle MySQL Server拒绝服务漏洞（CNVD-2020-70270）、Oracle Coherence远程代码执行漏洞、Oracle Weblogic Server信息泄露漏洞、Oracle WebCenter Sites信息泄露漏洞、Oracle Access Manager远程代码执行漏洞。其中，“Oracle Universal Work Queue代码执行漏洞、Oracle WebLogic Server Console远程代码执行漏洞、Oracle Coherence远程代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoSD-WAN vManage是一款可提供软件定义网络功能的软件。Cisco IntegratedManagement Controller (IMC)是一个为Cisco UCS C系列机架式服务器和Cisco S系列存储服务器提供嵌入式服务器管理的基板管理控制器。Cisco Webex Teams是一款综合通信应用程序，旨在为您提供所有必要的工具和合适的环境以增强团队协作。Cisco Firepower Management Center（FMC）是新一代防火墙管理中心软件。Cisco Firepower ThreatDefense是一款提供下一代防火墙服务的统一软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取系统文件，执行任意命令，获得root用户特权等。

CNVD收录的相关漏洞包括：Cisco SD-WAN vManage目录遍历漏洞、Cisco SD-WAN Software权限提升漏洞、Cisco Integrated Management Controller命令注入漏洞（CNVD-2020-70859）、Cisco IntegratedManagement Controller授权绕过漏洞、Cisco Webex Teams跨站脚本漏洞、Cisco Firepower Management Center (FMC)跨站脚本漏洞、Cisco Firepower Threat Defense sfmgr命令目录遍历漏洞、Cisco IOS和IOS XE输入验证错误漏洞（CNVD-2020-70878）。其中，“Cisco SD-WAN Software权限提升漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Schneider Electric产品安全漏洞

Schneider Electric Interactive Graphical SCADASystem（IGSS）是一套用于监控和控制工业过程的SCADA（数据采集与监控系统）系统。Schneider Electric EcoStruxure Building OperationEnterprise Server是一个企业级楼宇控制系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获得用户特权，远程执行代码。

CNVD收录的相关漏洞包括：Schneider ElectricInteractive Graphical SCADA System缓冲区溢出漏洞（CNVD-2020-70522、CNVD-2020-70521、CNVD-2020-70525、CNVD-2020-70524、CNVD-2020-70523、CNVD-2020-70530）、Schneider Electric Interactive Graphical SCADA System代码执行漏洞、Schneider Electric EcoStruxure Building Operation EnterpriseServer本地提权漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Huawei HedEx Lite (DM)路径遍历漏洞

Huawei HedEx Lite是一款产品文档管理器。Huawei HedEx Lite (DM)被披露存在路径遍历漏洞。攻击者可利用漏洞通过远程请求未经授权更改本地路径来请求本地文件或资源。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Siemens产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，进行跨站请求伪造攻击等。此外，Oracle、Cisco、Schneider Electric等多款产品被披露存在多个漏洞，攻击者可利用漏洞读取系统文件，执行任意命令，获得root用户特权等。另外，Huawei HedEx Lite (DM)被披露存在路径遍历漏洞。攻击者可利用漏洞通过远程请求未经授权更改本地路径来请求本地文件或资源。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信微报、公安部刑侦局、中国信通院、第一财经、泸州银行、上行快线报道

责任编辑：韩希宇