国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞457个，互联网上出现“WordPress插件Easy Contact Form 'Name'跨站脚本漏洞、Nxlog代码问题漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

政策研究 | 大型互联网平台消费者金融信息保护问题研究

就现阶段而言，大型互联网平台消费者信息保护总体状况不容乐观，尤其是某些头部互联网平台在格式条款、信息收集和使用、营销宣传方面存在一些问题和争议，需要进一步认真审视和对待。>>详细

工信部组织召开APP个人信息保护监管座谈会

针对APP过度索取麦克风、相册、通讯录等权限问题，工业和信息化部专题开展技术检测，对发现存在问题的179款APP提出了责令限期整改，对其中未按期整改的26款APP予以公开通报。>>详细

移动金融客户端应用软件实名备案名单公布（第六批）

根据《中国人民银行关于发布金融行业标准 加强移动金融客户端应用软件安全管理的通知》（银发[2019]237号），中国互联网金融协会承担移动金融应用客户端软件实名备案工作。>>详细

【安全】叮咚！请查收您的新年安全锦囊

打开这个春节防骗锦囊get安全妙计，慧眼识骗不中招，幸福平安过好年! >>详细

【提示】2021年春节期间支付行业反诈反赌在行动

防疫期间许多人就地过春节，使用远程支付更多，骗子们也更加蠢蠢欲动。>>详细

识别有法宝 | 警惕“预约新冠疫苗”诈骗，这些短信不要信！

近日，国家反诈中心提醒：有不法分子借“预约新冠疫苗”发布虚假链接，非法收集公民个人信息。>>详细

@所有人，您有一封春节防诈骗温馨提示请查收

诈骗分子通过微信、QQ等网络社交平台散发虚假贷款广告、贷款APP（系假冒）链接，以“无担保”、“无抵押”骗取受害人关注，再以手续费、押金、刷银行流水账等各种理由诱使受害人向其打款，造成经济损失。>>详细

打击电诈“断卡”行动进行时｜控量提质 主动出击 2021“断卡”行动再吹号角

2021年以来，人民银行福州中心支行坚持存量与增量齐抓、人防与技防并举、打击与惩戒并重，以预防、止损、严管三大宗旨为指导，深挖源头、标本兼治，继续肃清“两卡”滋生土壤。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年2月1日-7日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞457个，其中高危漏洞163个、中危漏洞246个、低危漏洞48个。漏洞平均分值为5.85。上周收录的漏洞中，涉及0day漏洞238个（占52%），其中互联网上出现“WordPress插件Easy Contact Form 'Name'跨站脚本漏洞、Nxlog代码问题漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Oracle产品安全漏洞

Oracle E-Business Suite（电子商务套件）是美国甲骨文（Oracle）公司的一套全面集成式的全球业务管理软件。上周，上述产品被披露存在授权问题漏洞，攻击者可利用该漏洞影响机密性和完整性。

CNVD收录的相关漏洞包括：Oracle E-Business Suite授权问题漏洞（CNVD-2021-08445、CNVD-2021-08444、CNVD-2021-08448、CNVD-2021-08447、CNVD-2021-08452、CNVD-2021-08451、CNVD-2021-08450、CNVD-2021-08449）。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括：Google Android Framework权限提升漏洞（CNVD-2021-09483、CNVD-2021-09482、CNVD-2021-09481、CNVD-2021-09486、CNVD-2021-09485、CNVD-2021-09484、CNVD-2021-09488、CNVD-2021-09487）。其中，“Google Android Framework权限提升漏洞（CNVD-2021-09482、CNVD-2021-09486、CNVD-2021-09485、CNVD-2021-09487）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

CiscoIOS XR软件是用于服务提供商网络的模块化和完全分布式的网络操作系统。Cisco Managed ServicesAccelerator (MSX)是一个多租户、多服务、云原生的服务创建和交付平台，可帮助服务提供商快速、轻松且经济高效地为企业客户开发和交付托管服务。Cisco SD-WAN vEdge是美国思科（Cisco）公司的是一款路由器。Cisco Data Center NetworkManager (DCNM)是Cisco的一套数据中心网络管理器，可对网络进行多协议管理，并对交换机的运行状况和性能提供故障排除功能。Cisco StarOS是一套路由器操作系统，可控制整个系统逻辑，可控制进程和CLI。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，删除文件系统上的任意文件，导致拒绝服务。

CNVD收录的相关漏洞包括：Cisco IOS XR拒绝服务漏洞（CNVD-2021-09295、CNVD-2021-09297、CNVD-2021-09296）、Cisco Managed ServicesAccelerator拒绝服务漏洞、Cisco IOS XR信息泄露漏洞、Cisco SD-WAN Software信息泄露漏洞、Cisco Data Center Network Manager路径遍历漏洞（CNVD-2021-09309）、Cisco StarOS拒绝服务漏洞（CNVD-2021-09312）。其中，“Cisco IOS XR拒绝服务漏洞（CNVD-2021-09297、CNVD-2021-09296）、Cisco Data Center Network Manager路径遍历漏洞（CNVD-2021-09309）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Windows Hyper-V是美国微软（Microsoft）公司的一款可提供硬件虚拟化的工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以提升的权限执行代码等。

CNVD收录的相关漏洞包括：Microsoft Windows Codecs远程代码执行漏洞、Microsoft Windows内核映像权限提升漏洞、Microsoft Windows内核模式驱动程序权限提升漏洞、Microsoft Windows Hyper-V权限提升漏洞（CNVD-2021-08829）、Microsoft Windows Hyper-V远程代码执行漏洞（CNVD-2021-08834）、Microsoft Windows Installer权限提升漏洞（CNVD-2021-08833）、Microsoft Windows WER权限提升漏洞、Microsoft Windows和Windows Server权限提升漏洞（CNVD-2021-08838）。其中，除“Microsoft Windows Codecs远程代码执行漏洞、Microsoft Windows WER权限提升漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

EasyCMS跨站请求伪造漏洞（CNVD-2021-09498）

EasyCMS是轻量级可扩展的开源内容管理程序，遵循Apache2开源协议发布。上周，EasyCMS被披露存在跨站请求伪造漏洞。攻击者可通过index.php?s=/admin/rbacuser/insert/navTabId/rbacuser/callbackType/closeCurrent利用该漏洞添加管理员帐户。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Oracle产品被披露存在授权问题漏洞，攻击者可利用该漏洞影响机密性和完整性。此外，Google、Cisco、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，删除文件系统上的任意文件，以提升的权限执行代码，导致拒绝服务等。另外，EasyCMS被披露存在跨站请求伪造漏洞。攻击者可通过index.php?s=/admin/rbacuser/insert/navTabId/rbacuser/callbackType/closeCurrent利用该漏洞添加管理员帐户。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、中国互联网金融协会、中国支付清算协会、工信微报、中国人民银行福州中支、中国工商银行电子银行、交通银行微银行、邯郸银行报道

责任编辑：韩希宇