国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞679个，互联网上出现“CSZ CMS跨站脚本漏洞（CNVD-2021-19691）、jsPDF跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

人民银行召开2021年金融消费权益保护工作电视会议

坚持政治引领、提高政治站位，坚持人民情怀、始终消保为民，坚持守正创新、强化科技赋能，坚持依法履职、完善制度规范，坚持强本固基、促进能力提升，坚持以人为本、打造出色队伍，持续做好金融消费权益保护工作。>>详细

央行数字货币研究所所长穆长春：数字人民币技术上可实现小额匿名

使用数字人民币支付时，我们将用户的支付信息打包做加密处理，用子钱包的形式推送给电商平台，平台是不知道个人信息的，这样就保证了用户核心信息的隐私保护。>>详细

农商消消乐|识别诈骗擦亮眼，严防警惕是关键

任何要求垫资的兼职和刷单都是诈骗，不要轻信所谓的高额回报，不要轻易点击陌生链接，不在陌生网站留下自己的个人信息。>>详细

全新交互体验！全方位安全认证方案助力提升政务服务效能

在机构与个人客户、企业客户进行交互的过程中，会涉及数据的传送，要确保这些数据能防篡改，且需要采取密送的方式进行。最常见的模式为采取SSL安全传输机制 。>>详细

遏制互联网平台滥用个人信息 监管机构为数据收集设边界

中国互联网行业的发展已经进入到新的阶段，但监管滞后，下一步的发展会进入到规范、有序的阶段，倡导发展和监管协同，更加明确主体责任。>>详细

认证难、确权难……供应链金融线上交易风险怎么破？

在数字化进程中，用户假冒、数据窃听、数据篡改、事后抵赖等问题加大了线上业务的交易风险、技术风险，以及法律风险。>>详细

宣传普及金融知识，防范电信网络诈骗！

骗子都是利用受害人趋利避害和轻信麻痹的心理，诱使受害人上当而实施诈骗犯罪活动的。>>详细

一边啃鸭脖一边办业务，公积金在线提取便捷又安全

武汉住房公积金管理中心与中国金融认证中心（CFCA）合作，引入先进的无纸化电子签名系统和网络身份认证平台等一系列技术与服务，建设了一套高效便捷的数字化、网络化、自动化的“智慧公积金”体系。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年3月15日-21日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞679个，其中高危漏洞120个、中危漏洞299个、低危漏洞260个。漏洞平均分值为4.98。上周收录的漏洞中，涉及0day漏洞427个（占63%），其中互联网上出现“CSZ CMS跨站脚本漏洞（CNVD-2021-19691）、jsPDF跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Chrome是由Google开发的一款设计简单、高效的Web浏览工具，其特点是简洁、快速。Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过精心制作的HTML页面从进程内存中获取潜在的敏感信息，导致特权的本地升级，而无需其他执行特权，实现远程代码执行等。

CNVD收录的相关漏洞包括：Google Chrome策略执行不足漏洞（CNVD-2021-17299）、Google Chrome安全性UI不正确漏洞（CNVD-2021-17298）、Google Chrome释放后重用漏洞（CNVD-2021-17300）、Google Android System远程代码执行漏洞（CNVD-2021-17303）、Google Android System权限提升漏洞（CNVD-2021-17302）、Google Android System远程代码执行漏洞（CNVD-2021-17304）、Google Android Framework权限提升漏洞（CNVD-2021-17306）。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。Adobe FrameMaker是一款文档处理程序，用于编写和编辑包括结构化文档在内的大型或复杂文档。Adobe Connect是一款在线视频会议软件。Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞借助恶意文件利用该漏洞导致信息泄露，执行任意代码。

CNVD收录的相关漏洞包括：Adobe Photoshop越界写入漏洞（CNVD-2021-17735）、Adobe Framemaker越界读取漏洞（CNVD-2021-17742）、Adobe Connect输入验证不当漏洞、Adobe Animate越界读取漏洞（CNVD-2021-17737、CNVD-2021-17736、CNVD-2021-17740、CNVD-2021-17739）、Adobe Animate内存破坏漏洞（CNVD-2021-17741）。其中“Adobe Photoshop越界写入漏洞（CNVD-2021-17735）、Adobe Framemaker越界读取漏洞（CNVD-2021-17742）、Adobe Connect输入验证不当漏洞”的综合评级为“高危”目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Enterprise Financial Services是德国思爱普（SAP）公司的一套企业财务服务解决方案。SAP NetWeaver KnowledgeManagement Configuration Service是德国思爱普（SAP）公司的一款知识管理解决方案配置服务。SAP HANA是德国思爱普（SAP）公司的一套高性能的实时数据分析平台。SAP MII是德国思爱普（SAP）公司的一个应用软件。SAP Netweaver是德国思爱普（SAP）公司的一套面向服务的集成化应用平台。SAP Netweaver ApplicationServer Java是 SAP NetWeaver Application Platform的一部分，其提供用于部署和运行Java应用程序的完整基础架构。SAP Business Warehouse（BW）是SAP的数据仓库解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞将用户重定向到恶意站点，提升权限，通过远程启用功能模块利用该漏洞注入代码等。

CNVD收录的相关漏洞包括：SAP Enterprise FinancialServices权限提升漏洞（CNVD-2021-18017）、SAP NetWeaver Knowledge Management Configuration Service不安全反序列化漏洞、SAP HANA身份验证绕过漏洞（CNVD-2021-18021）、SAP MII代码注入漏洞、SAP NetWeaver未授权访问漏洞、SAP Netweaver ApplicationServer Java反向标签钓鱼漏洞、SAP AS ABAP和SAP S4 HANA身份验证不当漏洞、SAP Business Warehouse和SAP BW/4HANA代码注入漏洞。其中“SAP HANA身份验证绕过漏洞（CNVD-2021-18021）、SAP MII代码注入漏洞、SAP NetWeaver未授权访问漏洞、SAP AS ABAP和SAPS4 HANA身份验证不当漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Red Hat产品安全漏洞

Red Hat Enterprise Linux是美国红帽（Red Hat）公司的面向企业用户的Linux操作系统。Red Hat Undertow是美国红帽（Red Hat）公司的一款基于Java的嵌入式Web服务器，是Wildfly（Java应用服务器）默认的Web服务器。Red Hat Wildfly是美国红帽（Red Hat）公司的一款基于JavaEE的轻量级开源应用服务器。Red Hat Keycloak是美国红帽（Red Hat）公司的一套为现代应用和服务提供身份验证和管理功能的软件。Red Hat Hibernate ORM是美国红帽（Red Hat）公司的一款用于编写应用程序的对象/关系映射（ORM）框架。JPA Criteria API是其中的一个用于查询功能的API（应用程序编程接口）。Red Hat Satellite是美国红帽（Red Hat）公司的一套系统管理平台。Red Hat 3scale APIManagement Platform是美国红帽（Red Hat）公司的一个API管理的基础架构平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致缓冲区溢出或堆溢出，通过特殊字符查询触发致命错误，以触发拒绝服务，访问未授权的信息或进行进一步的攻击等。

CNVD收录的相关漏洞包括：Red Hat Enterprise Linux资源管理错误漏洞（CNVD-2021-19382）、Red Hat Undertow拒绝服务漏洞、Red Hat Wildfly内存泄露漏洞、Red Hat Keycloak跨站脚本漏洞（CNVD-2021-17784）、Red Hat Hibernate ORM SQL注入漏洞、Red Hat Satellite缓冲区溢出漏洞、Red Hat 3scale APIManagement Platform输入验证错误漏洞、Red Hat Keycloak访问控制错误漏洞（CNVD-2021-19376）。其中“Red Hat Enterprise Linux资源管理错误漏洞（CNVD-2021-19382）、Red Hat Undertow拒绝服务漏洞、Red Hat Wildfly内存泄露漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

zzzphp SQL注入漏洞

zzzphp是免费开源的建站系统，主要面对广大站长使用,不需要授权,可免费商用。上周，zzzphp被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞通过精心制作的HTML页面从进程内存中获取潜在的敏感信息，导致特权的本地升级，而无需其他执行特权，实现远程代码执行等。此外，Adobe、SAP、Red Hat等多款产品被披露存在多个漏洞，攻击者可利用漏洞导致信息泄露，执行任意代码，导致缓冲区溢出或堆溢出，通过特殊字符查询触发致命错误，以触发拒绝服务等。另外，Seo Panel被披露存在跨站脚本漏洞。攻击者可通过archive.php search_name参数利用该漏洞注入JavaScript。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、第一财经、中国证券报·中证网、晋商银行、上海农商银行报道

责任编辑：韩希宇