国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞488个，互联网上出现“UltimateKode Neo Billing跨站脚本漏洞、PHPSHE SQL注入漏洞（CNVD-2021-14156）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

全国人大代表、中国人民银行参事崔瑜：探索金融数据共享机制

为有效监督个人信息控制者在信息处理环节相关行为，最大程度保障个人合法权益和社会公共利益，建议研究设立相关行业协会自律组织，落实对个人信息控制者的安全审计，强化规范个人信息处理活动的管理监督。>>详细

全民关注两会热议：如何守住个人信息安全？

当前，个人信息安全问题层出不穷，如何守住个人信息安全成为全民关注热点。中国金融认证中心（CFCA）在信息安全领域具有丰富的实战经验，可提供覆盖个人信息全生命周期的安全服务，助力机构企业安全合规发展。>>详细

消保锦囊｜严防个人信息泄漏，农行来支招！

如今，金融业务网络化程度飞速提升，便捷金融服务无处不在。个人信息和流量成为最重要的资源，成为各行各业争抢的“金山银山”。>>详细

科普丨315金融安全之“贷款防诈骗指南”

“手续费”、“保证金”、“管理费”、“工本费”、“验证金”、“先交几百元，放款几万块”、“打款到指定账户验证还款能力”等皆是骗局！>>详细

【知识】阳光消保 | 依法求偿要理性

金融机构应当切实履行金融消费者投诉处理主体责任，在机构内部建立多层级投诉处理机制，完善投诉处理程序，建立投诉办理情况查询系统，提高金融消费者投诉处理质量和效率，接受社会监督。>>详细

金融信息安全早知道 之二

下载安装App或在第三方办理业务时，留意相关授权权限，仔细阅读相关协议和合同条款，审慎填写个人信息，避免重要信息被过度搜集或非法使用。>>详细

【安全小课堂】法人信息年检？这种钓鱼方式你可能没见过

近期诈骗分子不仅冒充“市场监管部门”，还冒充多家银行名义，以银行卡过期、手机银行失效，手机存档信息到期等名义批量发送钓鱼短信。>>详细

这些个人银行账户知识，你知道吗？

在电信网络诈骗案件高发的形势下，如何防范电信网络诈骗、保护账户资金安全？>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年3月1日-7日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞488个，其中高危漏洞196个、中危漏洞244个、低危漏洞48个。漏洞平均分值为6.11。上周收录的漏洞中，涉及0day漏洞208个（占43%），其中互联网上出现“UltimateKode Neo Billing跨站脚本漏洞、PHPSHE SQL注入漏洞（CNVD-2021-14156）”等零日代码攻击漏洞。

上周重要漏洞安全告警

DELL产品安全漏洞

Dell EMC PowerScale OneFS是一款由API驱动的文件系统。Dell EMC Isilon OneFS和Dell EMC PowerScale OneFS都是美国戴尔（DELL）公司的一套适用于非结构化数据的横向扩展存储系统。Dell EMC SourceOne是一个强大的归档解决方案，用于处理来自不同协作和消息系统的电子邮件、文件和数据。 DELL Dell EMC OpenManageServer Administrator是美国DELL公司的一套系统管理解决方案。该方案支持在线诊断、系统运行情况检测、设备管理等。Microsoft Windows是美国Microsoft公司的一种桌面操作系统。DELL Dell EMC AvamarServer是美国戴尔（DELL）公司的一套用于服务器的完全虚拟化的备份和恢复软件。Dell EMC PowerScale OneFS是一款由API驱动的文件系统。Dell EMC PowerStore是美国戴尔（Dell）公司的一款存储设备。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在应用程序的底层OS上执行任意OS命令，将权限提升到root用户，获取受影响系统的管理员访问权限。

CNVD收录的相关漏洞包括：Dell EMC PowerScale OneFS操作系统命令注入漏洞、Dell EMC Isilon OneFS和DellEMC PowerScale OneFS权限提升漏洞、Dell EMC SourceOne跨站脚本漏洞、Dell EMC OpenManage Server Administrator身份验证绕过漏洞、Dell EMC Avamar Server授权问题漏洞、Dell EMC PowerScale OneFS权限提升漏洞（CNVD-2021-13937、CNVD-2021-13938）、Dell EMC PowerStore信息泄露漏洞（CNVD-2021-13943）。其中， “Dell EMC PowerScale OneFS操作系统命令注入漏洞、Dell EMC Isilon OneFS和DellEMC PowerScale OneFS权限提升漏洞、Dell EMC SourceOne跨站脚本漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地特权升级，实现远程代码执行，导致拒绝服务等。

CNVD收录的相关漏洞包括：Google Android System权限提升漏洞（CNVD-2021-13687、CNVD-2021-13691、CNVD-2021-13690）、Google Android System远程代码执行漏洞（CNVD-2021-13692）、Google Chrome PDFium代码执行漏洞、Google Chrome Blink代码执行漏洞（CNVD-2021-14180）、Google Chrome安全绕过漏洞（CNVD-2021-14179）、Google Chrome性能API安全绕过漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Magento是Adobe公司旗下一款用PHP编写的开源电子商务平台。Magento Community Edition是社区版，后改称Magento Open Source，MagentoEnterprise Edition是企业版，后改称Magento Commerce。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞未经授权访问受限资源，执行任意代码，在浏览器中执行任意JavaScript等。

CNVD收录的相关漏洞包括：Adobe Magento用户会话无效化不足漏洞（CNVD-2021-13915、CNVD-2021-13916）、Adobe Magento安全绕过漏洞（CNVD-2021-13928、CNVD-2021-13929）、Adobe Magento命令注入漏洞、Adobe Magento跨站脚本漏洞（CNVD-2021-13917）、Adobe Magento XML注入漏洞（CNVD-2021-13921）、Adobe Magento不当授权漏洞（CNVD-2021-13920）。其中，“Adobe Magento用户会话无效化不足漏洞（CNVD-2021-13915、CNVD-2021-13916）、Adobe Magento安全绕过漏洞（CNVD-2021-13928、CNVD-2021-13929）、Adobe Magento命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

HCL产品安全漏洞

HCL Notes是印度HCL公司的一个本地电子邮件客户端。HCL Domino是印度HCL公司的一套企业级应用程序开发平台。HCL Digital Experience是印度HCL公司的一套数字体验平台，内容交付解决方案。HCL iNotes是用于访问HCLDomino邮件、联系人、日历、计划和协作功能的浏览客户端。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞诱使最终用户输入敏感信息，导致程序崩溃或将代码注入系统，代码将以当前登录用户的权限执行，使Domino崩溃或在服务器系统上执行攻击者控制的代码等。

CNVD收录的相关漏洞包括：HCL Notes栈缓冲区溢出漏洞、HCL Domino缓冲区溢出漏洞、HCL Digital Experience信息泄露漏洞、HCL iNotes标签钓鱼漏洞、HCL Notes Email Compose缓冲区溢出漏洞、HCL Digital Experience访问控制错误漏洞、HCL Domino登录跨站请求伪造漏洞、HCL Domino安全策略绕过漏洞。其中“HCL Notes栈缓冲区溢出漏洞、HCL Domino缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Typora跨站脚本漏洞（CNVD-2021-14407）

Typora是一款编辑器。上周，Typora被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行远程代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，DELL产品被披露存在多个漏洞，攻击者可利用漏洞在应用程序的底层OS上执行任意OS命令，将权限提升到root用户，获取受影响系统的管理员访问权限。此外，Google、Adobe、HCL等多款产品被披露存在多个漏洞，攻击者可利用漏洞未经授权访问受限资源，导致本地特权升级，实现远程代码执行，导致拒绝服务等。另外，Typora被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行远程代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国证券报·中证网、中国农业银行、广发银行、中国民生银行、中国光大银行、杭州银行、泉州银行报道

责任编辑：韩希宇