国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞617个，互联网上出现“Wordpress Hashtagger插件跨站脚本漏洞、Maxum Rumpus命令注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

中国银保监会：关于防范短信钓鱼诈骗的风险提示

提醒消费者注意保护个人账户信息安全，从官方渠道办理手机银行或网上银行业务，谨防短信钓鱼诈骗侵害资金安全。>>详细

2020年网络犯罪人数激增47.9% 数据合规成企业命门

个人信息在不同平台上进行共享，在技术上不存在障碍，可以通过企业技术合作和行业规范等多种方式实现。>>详细

盘一盘你们常咨询的几类App认证，拿走不谢！

近年来，移动互联网App强制授权、过度索权、超范围收集个人信息的现象大量存在，App违法违规收集使用个人信息的问题日渐严峻。为了规范App收集、使用个人信息的行为，加强个人信息安全保护，国家屡次重拳出击。>>详细

个人信息泄露多发，专家建议加强数据产权建设

在数据产权制度建设过程中，对企业通过政务公开等途径获取的数据开发经营的信息，不违反法律情况下，准许自由经营。对于基因、遗传、医疗、生物识别信息等信息，应尊重专门性规定。>>详细

【安全315】中信银行维护您的合法权益

受益于金融科技的飞速发展，金融服务日益便捷，但随之而来的信息泄露、电信诈骗等危险，也在严重威胁着金融消费者的合法权益。>>详细

【3.15】金融安全小贴士

冒用银行名义向消费者发送短信，以手机银行过期、尚未完成认证激活、预留信息失效、积分可兑换现金等理由诱骗消费者点击钓鱼链接。>>详细

【安全小课堂】“银行年检员”找上门，还要拉你入群？

假如您是企业财务人员，可能对银行账户年检这样的服务并不陌生，但是近段时间不法分子开始利用账户年检这项服务，向财务人员发起了一轮“升级版”的诈骗攻势。>>详细

【防骗立功】只因责任成习惯，苏州银行沭阳支行成功堵截一起电信诈骗

工作人员便耐心地问明缘由：原来张女士的某位朋友在网上操作类似于保险的某项投资，有合伙入股的名额，根据朋友发来的二维码，她前期已经完成了注册并转入6万元，张女士的另一位朋友也转入了14万元，共计20万元。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年3月8日-14日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞617个，其中高危漏洞204个、中危漏洞267个、低危漏洞146个。漏洞平均分值为5.76。上周收录的漏洞中，涉及0day漏洞386个（占63%），其中互联网上出现“Wordpress Hashtagger插件跨站脚本漏洞、Maxum Rumpus命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Siemens产品安全漏洞

Siemens SINEMA Remote Connect Server是一套远程网络管理平台。Siemens Solid Edge是一款三维CAD软件。SIMATIC S7-PLCSIM V5.4是一个Windows应用程序，它模拟用户程序的执行，用于模拟模拟S7-300 CPU、S7-400 CPU和WinAC系列控制器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取任意文件，在当前进程的上下文中执行代码，造成拒绝服务情况等 。

CNVD收录的相关漏洞包括：Siemens SINEMA Remote Connect Server不正确授权漏洞（CNVD-2021-16437、CNVD-2021-16436）、Siemens Solid Edge越界写入漏洞、Siemens SINEMA Remote Connect Server是一套远程网络管理平台。Siemens Solid Edge是一款三维CAD软件。SIMATIC S7-PLCSIM V5.4是一个Windows应用程序，它模拟用户程序的执行，用于模拟模拟S7-300 CPU、S7-400 CPU和WinAC系列控制器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取任意文件，在当前进程的上下文中执行代码，造成拒绝服务情况等Siemens Solid Edge XML外部实体引用漏洞、Siemens Solid Edge越界写入漏洞（CNVD-2021-16439）、Siemens Solid Edge越界读取漏洞、Siemens SIMATIC S7-PLCSIM拒绝服务漏洞、Siemens SIMATIC S7-PLCSIM空指针取消引用漏洞。其中，除“Siemens Solid Edge XML外部实体引用漏洞、Siemens SIMATIC S7-PLCSIM拒绝服务漏洞、Siemens SIMATIC S7-PLCSIM空指针取消引用漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是一款开源Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息或劫持用户会话，可使应用程序崩溃或以应用程序上下文执行任意代码 。

CNVD收录的相关漏洞包括：Mozilla Firefox信息泄露漏洞（CNVD-2021-15048、CNVD-2021-15498）、Mozilla Firefox内存破坏代码执行漏洞（CNVD-2021-15495、CNVD-2021-15496、CNVD-2021-15500、CNVD-2021-15499）、Mozilla Firefox点击劫持漏洞、Mozilla Firefox跨站脚本漏洞（CNVD-2021-15502）。目前，厂商已经发布了上述漏洞的修补程序。

Aruba Networks 产品安全漏洞

Aruba Networks AirWave Management Platform是一套适用于多供应商管理的网络管理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取和修改底层数据库中的敏感信息，执行任意命令，导致拒绝服务等 。

CNVD收录的相关漏洞包括：Aruba Networks AirWave Management Platform命令注入漏洞（CNVD-2021-15033、CNVD-2021-15041、CNVD-2021-15042、CNVD-2021-15035）、Aruba Networks AirWave Management Platform SQL注入漏洞（CNVD-2021-15037、CNVD-2021-15036）、Aruba Networks AirWave Management Platform不当访问控制漏洞、Aruba Networks AirWave Management Platform XML外部实体注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP 3D Visual Enterprise Viewer是一款适用于Windows的免费3D可视化查看器。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞导致程序崩溃 。

CNVD收录的相关漏洞包括：SAP 3D Visual Enterprise Viewer拒绝服务漏洞（CNVD-2021-16366、CNVD-2021-16369、CNVD-2021-16368、CNVD-2021-16367、CNVD-2021-16370、CNVD-2021-16932、CNVD-2021-16931、CNVD-2021-16930）。目前，厂商已经发布了上述漏洞的修补程序。

Delta Electronics CNCSoft-B缓冲区溢出漏洞

Delta Electronics CNCSoft-B是一款数控机床仿真系统软件。上周，Delta Electronics CNCSoft-B被披露存在缓冲区溢出漏洞。该漏洞源于空指针错误，攻击者可利用该漏洞执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Siemens产品被披露存在多个漏洞，攻击者可利用漏洞获取任意文件，在当前进程的上下文中执行代码，造成拒绝服务情况等。此外，Mozilla、Aruba Networks、SAP等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息或劫持用户会话，执行任意命令，导致拒绝服务等。另外，Delta Electronics CNCSoft-B被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案 。

中国电子银行网综合CNVD、银保监会、21世纪经济报道、第一财经、中信银行、杭州银行、北京农商银行e服务、苏州银行报道

责任编辑：韩希宇