国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞581个，互联网上出现“OpenEMR操作系统命令注入漏洞、PHPGurukul Online Book Store任意文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

最高法发文明确银行卡盗刷责任认定

银行卡盗刷交易认定的着眼点是“持卡人账户发生非因本人意思的资金减少或者透支数额增加的行为”，该交易不是持卡人本人授权交易。>>详细

此类骗子套路，让电商平台客服“背锅”

涉及资金交易需谨慎，如有陌生人以“提高信用积分”、“补充转账流水”为由要求您开通网贷业务或是向指定账户汇款，不要轻易相信。>>详细

【安全课堂】遇到此类网络交友诈骗套路，请拉黑

随着网络社交平台的兴起，一些诈骗分子戴上伪善的面具，利用网络空间的隐蔽性，在社交平台与他人结识并交好，而实际企图却是对方的钱财。>>详细

如何提升医疗机构数据安全防护能力？这三个建议请收好！

针对评估检查出来的数据安全风险，医疗机构可列出相应的安全控制措施，根据需要采取相应处置措施，并将风险降低到可接受范围内。>>详细

浅谈邮件钓鱼|钓的是人，也是人心

通过了解邮件钓鱼的攻击方式、思路、方法，尝试通过钓鱼邮件模拟、测试是学习邮件钓鱼、树立员工钓鱼邮件安全意识的一种有效方式。>>详细

【安全小课堂】电脑上遮盖一块布？要不要这么听话！

最近，冒充公检法的电信诈骗案件增多，骗子的诈骗手法不断更新迭代，但最终目的只有一个，就是骗你转账！>>详细

国家互联网应急中心发布《2020年我国互联网网络安全态势综述》

为全面反映我国网络安全的整体态势，CNCERT自2010年以来，每年发布前一年度网络安全态势情况综述，至今已连续发布12年，对我国党政机关、行业企业及社会了解我国网络安全形势，提高网络安全意识，做好网络安全工作提供了有力参考。>>详细

【知识】以案说险 | 如何防范信用卡被盗刷

遇到盗刷莫慌张，请第一时间冻结或挂失卡片，并与发卡机构取得联系。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年5月17日-23日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞581个，其中高危漏洞120个、中危漏洞374个、低危漏洞87个。漏洞平均分值为5.40。上周收录的漏洞中，涉及0day漏洞323个（占56%），其中互联网上出现“OpenEMR操作系统命令注入漏洞、PHPGurukul Online Book Store任意文件上传漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过特制的HTML页面执行域欺骗，绕过安全限制，执行任意代码或造成拒绝服务等。

CNVD收录的相关漏洞包括：Google Chrome Dev Tools代码执行漏洞、Google Chrome ANGLE堆缓冲区溢出漏洞、Google Chrome UI下载安全绕过漏洞、Google Chrome IndexedDB代码执行漏洞、Google Chrome Network安全绕过漏洞、Google Chrome安全绕过漏洞（CNVD-2021-35168）、Google Chrome Blink代码执行漏洞、Google Chrome navigation安全绕过漏洞。其中，“Google Chrome ANGLE堆缓冲区溢出漏洞、Google Chrome UI下载安全绕过漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit Reader是中国福昕（Foxit）公司的一款PDF文档阅读器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：Foxit Reader U3D文件解析越界读取信息泄露漏洞（CNVD-2021-36471、CNVD-2021-36468、CNVD-2021-36473、CNVD-2021-36472）、Foxit Reader U3D文件解析越界写入远程代码执行漏洞、Foxit Reader U3D文件解析越界读取远程代码执行漏洞、Foxit Reader app.media远程代码执行漏洞、Foxit Reader U3D文件解析双重释放远程代码执行漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Jetbrains产品安全漏洞

JetBrains IntelliJ IDEA是捷克JetBrains公司的一套适用于Java语言的集成开发环境。JetBrains TeamCity是捷克JetBrains公司的一套分布式构建管理和持续集成工具。该工具提供持续单元测试、代码质量分析和构建问题分析报告等功能。JetBrains Code With Me是捷克JetBrains公司的一款可为IntelliJ IDE提供代码协同编辑的插件应用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行客户端代码等。

CNVD收录的相关漏洞包括：JetBrains IntelliJ IDEA拒绝服务漏洞、JetBrains TeamCity服务端请求伪造漏洞、JetBrains TeamCity跨站脚本漏洞（CNVD-2021-35241）、JetBrains IntelliJ IDEA外部实体注入漏洞、JetBrains TeamCity远程代码执行漏洞、JetBrains TeamCity信任管理问题漏洞（CNVD-2021-35238）、JetBrains IntelliJ IDEA本地代码执行漏洞、JetBrains Code With Me代码执行漏洞。其中，“JetBrains TeamCity远程代码执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是WordPress（Wordpress）基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。Wordpress WP Customer Reviews是（Wordpress）开源的一个应用插件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发起跨站脚本攻击，导致远程代码执行等。

CNVD收录的相关漏洞包括：WordPress Redirection for Contact Form 7 Plugin访问控制不当漏洞（CNVD-2021-36044）、WordPress Redirection for Contact Form 7 Plugin PHP对象注入漏洞、WordPress Business Directory Plugin远程代码执行漏洞、WordPress Ultimate Maps by Supsystic Plugin跨站脚本漏洞、WordPress Elements Kit Lite and Elements Kit Pro Plugin跨站脚本漏洞、Wordpress WP Customer Reviews跨站脚本漏洞、WordPress plugin跨站脚本漏洞（CNVD-2021-36524、CNVD-2021-36523）。其中，“WordPress Redirection for Contact Form 7 Plugin访问控制不当漏洞（CNVD-2021-36044）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

OpenClinic GA权限提升漏洞

OpenClinic GA是一套开源的医院信息管理系统。该系统支持财务管理、临床管理和实验室管理等功能。上周，OpenClinic GA被披露存在权限提升漏洞。该漏洞源于默认权限错误。攻击者可通过覆盖二进制文件利用该漏洞导致特权升级。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞通过特制的HTML页面执行域欺骗，绕过安全限制，执行任意代码或造成拒绝服务等。此外，Foxit、Jetbrains、WordPress等多款产品被披露存在多个漏洞，攻击者可利用漏洞发起跨站脚本攻击，获取敏感信息，执行客户端代码等。另外，OpenClinic GA被披露存在权限提升漏洞。攻击者可通过覆盖二进制文件利用该漏洞导致特权升级。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家互联网应急中心CNCERT、中国证券报·中证网、中国工商银行电子银行、中国光大银行、杭州银行报道

责任编辑：韩希宇