国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞605个，互联网上出现“Liftoff GateOne任意命令执行漏洞、White Shark System（WSS）跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

中国银联举办“防控支付涉赌涉诈，筑牢账户风险防线”专题研讨会

在人民银行的指导下，中国银联秉持“支付为民”理念，配合公安机关，联合产业各方，全力防控治理跨境赌博、电信网络诈骗风险，守护好人民群众的“钱袋子”，以实际行动为群众办实事。>>详细

新型ETC诈骗来袭 老司机小心被“套路”

近日，大量市民表示收到类似的貌似ETC认证的短信诈骗，对于此类新型诈骗，老司机们明显警惕不够，不少人点击了短信链接并填写了银行卡信息，瞬间损失了数百乃至上万元。>>详细

风险警示｜面对电信诈骗的剧本表演我们该如何喊CUT？

电信欺诈诈骗分子往往利用人性弱点，针对不同的人群，实施不同套路的欺诈。遇到电信欺诈，做到“沉着冷静，信息护好；理智判断，拒绝操控；自控自律，抵御诱惑”，做个聪明的“反诈骗er”，大胆向电信欺诈喊CUT！>>详细

兼顾风险控制与投保体验 保险数字转型可以这样布局

面对电子投保在各销售渠道比重日趋增长，电子签名需求激增，恒安标准与中国金融认证中心（CFCA）达成合作，引入CFCA网络身份认证平台、无纸化可信签名系统服务，以进一步推行电子出单，提高销售效率。>>详细

【安全】个人信息安全规范

在征得授权同意的例外中，《规范》明确，隐私政策的主要功能为公开个人信息控制者收集、使用个人信息规范和规则，不应将其视为根据个人信息主体要求签订和履行的合同。>>详细

CFCA与上海德衡数据签署战略合作协议：双方联合共建“金融级数据中心示范基地”

6月24日下午，中国金融认证中心（CFCA）与上海德衡数据在沪正式签署战略合作协议，并举行了“金融级数据中心示范基地”揭牌仪式。双方将积极深化合作，发挥各自优势，进一步加强在金融标准化、金融基础设施安全运营等领域的全面合作，共同开拓金融数据中心市场，推动金融数据中心标准建设，推进“金融级数据中心示范基地”的引领作用。>>详细

强化风险意识，防范电信诈骗

不点击未知链接，不轻信陌生来电，不透露个人信息，多核实再转账汇款。>>详细

安全丨当心！再这样做，你的个人信息将全部泄漏！

在这个网络信息爆炸的时代，一不小心就有可能泄露你的个人信息，导致陌生来电、垃圾信息不断，甚至电信诈骗也会找上门，你知道自己的电话号码、身份信息是如何被泄露的吗？>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年6月21日-27日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞605个，其中高危漏洞168个、中危漏洞363个、低危漏洞74个。漏洞平均分值为5.59。上周收录的漏洞中，涉及0day漏洞327个（占54%），其中互联网上出现“Liftoff GateOne任意命令执行漏洞、White Shark System（WSS）跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

WordPress产品安全漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。WP-CLI是WordPress的命令行界面。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞拦截通信，获取管理员cookie，远程执行代码。

CNVD收录的相关漏洞包括：WordPress插件跨站脚本漏洞（CNVD-2021-44297）、WordPress跨站脚本漏洞（CNVD-2021-44302、CNVD-2021-44303、CNVD-2021-44304、CNVD-2021-44307、CNVD-2021-44309）、WordPress代码问题漏洞（CNVD-2021-44308）、WordPress WP-CLI信任管理问题漏洞。其中，“WordPress代码问题漏洞（CNVD-2021-44308）、WordPress WP-CLI信任管理问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Google Android内存管理驱动程序权限提升漏洞（CNVD-2021-44313、CNVD-2021-44312、CNVD-2021-44311、CNVD-2021-44316、CNVD-2021-44315、CNVD-2021-44314）、Google Android System权限绕过漏洞（CNVD-2021-44320）、Google Android System远程代码执行漏洞（CNVD-2021-44329）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Firepower Threat Defense和Cisco Adaptive Security Appliance都是美国思科（Cisco）公司的产品。Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Appliance是一套防火墙和网络安全平台。该平台提供了对数据和网络资源的高度安全的访问等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞打破信任链并将代码注入设备的启动过程，在界面上下文中执行任意脚本代码，导致拒绝服务。

CNVD收录的相关漏洞包括：Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense跨站脚本漏洞（CNVD-2021-44675）、Cisco Adaptive Security Appliance和Firepower Threat Defense安全启动绕过漏洞、Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense拒绝服务漏洞（CNVD-2021-44680、CNVD-2021-44678、CNVD-2021-44684、CNVD-2021-44682）、Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense内存泄露漏洞、Cisco Adaptive Security Appliance跨站脚本漏洞（CNVD-2021-44674）。其中，“Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense拒绝服务漏洞（CNVD-2021-44678、CNVD-2021-44684、CNVD-2021-44682）、Cisco Adaptive Security Appliance和Cisco Firepower Threat Defense内存泄露漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR RBK752等都是美国网件（NETGEAR）公司的一套家庭WiFi系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意Shell命令。

CNVD收录的相关漏洞包括：多款NETGEAR产品操作系统命令注入漏洞（CNVD-2021-44783、CNVD-2021-44782、CNVD-2021-44786、CNVD-2021-44785、CNVD-2021-44784、CNVD-2021-44787）、多款NETGEAR产品命令注入漏洞（CNVD-2021-44781、CNVD-2021-44780）。目前，厂商已经发布了上述漏洞的修补程序。

TrendNet TW100-S4W1CA跨站脚本漏洞

TrendNet TW100-S4W1CA是一款四端口宽带路由器。上周，TrendNet TW100-S4W1CA 2.3.32版被披露存在跨站脚本漏洞。攻击者可通过echo命令利用该漏洞将任意JavaScript注入路由器的Web界面。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，WordPress产品被披露存在多个漏洞，攻击者可利用漏洞拦截通信，获取管理员cookie，远程执行代码。此外，Google、Cisco、NETGEAR等多款产品被披露存在多个漏洞，攻击者可利用漏洞打破信任链并将代码注入设备的启动过程，提升权限，执行任意代码，导致拒绝服务等。另外，TrendNet TW100-S4W1CA 2.3.32版被披露存在跨站脚本漏洞。攻击者可通过echo命令利用该漏洞将任意JavaScript注入路由器的Web界面。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、中国银联、华夏银行、南京银行、泸州银行、重庆农村商业银行报道

责任编辑：韩希宇