国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞575个，互联网上出现“dotCMS跨站脚本漏洞（CNVD-2021-50940）、Halo服务器端请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【养老】诈骗盯上老年人？老年大学带您识破骗术！

提高金融安全意识，中老年人接到陌生电话做到“三不”：不被奖励诱惑，不轻信陌生人，不透露个人信息。>>详细

【反诈】心中时刻牢记法，美好生活顶呱呱

信用卡、银行账户、非银行支付账户、具有支付结算功能的互联网账号密码、网络支付接口、网上银行数字证书务必自己保管自己使用，收购、出租、出售、出借上述工具是非法行为。如果电信网络诈骗犯罪所得及其产生的收益使用上述工具进行转账、套现、取现，将被追究刑事责任。>>详细

CFCA受邀参加跨境人民币支付领域金融数据交换标准应用试点工作会议

2021年7月，中国人民银行上海总部召开跨境人民币支付领域金融数据交换标准应用试点工作会议。>>详细

CFCA获评A级！北京国金认证2020年度合作检测机构评价结果出炉

北京国家金融科技认证中心公布了2020年度移动金融技术服务认证、金融科技产品认证合作检测机构评价结果，中国金融认证中心（CFCA）获评A级。>>详细

【防骗】真命天子暗藏陷阱，“测一测”游戏要警惕

不轻易提供重要敏感信息给他人，不点击来路不明的网站链接，不随意在除银行官方渠道之外的网页填写重要敏感信息。>>详细

App索要权限过多，个人信息如何保护？

长期以来，手机APP过度手机用户个人信息，强制索要用户授权，如随意访问用户联系人、短信、记事本、定位信息甚至是银行卡密码等重要资产信息，由此发生不少用户被诈骗事件，互联网用户苦“个人信息泄露”久已。>>详细

【小河讲反洗钱】身份识别中的辅助材料

辅助身份证明材料是指银行在进行客户身份识别时，通过有效身份证件无法准确判断开户申请人身份而要求其出具的其他材料。>>详细

蒙商智能云厅堂，守护您的财产安全！

为了避免落入骗子的陷阱之中，使用线上存单验证功能，让我们及时查询存单真伪。>>详细

【守护“钱袋子”】远离四种APP，保护好钱袋子

利率高到离谱，一看就是网络投资理财诈骗陷阱，不要被暂时的甜头迷惑双眼。>>详细

叮咚！暑假防范电信诈骗安全小贴士，请查收!

做到“三个不”：不明链接不点击，不明短信不回复，不明账号不转账。妥善保管个人信息，请勿轻易泄露个人证件号码、银行卡号及密码等重要信息。遇到电信诈骗及时拨打96110向国家反诈中心举报或报警向公安求助。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年7月12日-18日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞575个，其中高危漏洞158个、中危漏洞348个、低危漏洞69个。漏洞平均分值为5.65。上周收录的漏洞中，涉及0day漏洞360个（占63%），其中互联网上出现“dotCMS跨站脚本漏洞（CNVD-2021-50940）、Halo服务器端请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Media Encoder是一款视频和音频编码应用程序。Adobe Animate是一款多媒体创作和计算机动画程序。Medium by Adobe是一款VR艺术创作工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Media Encoder越界读取漏洞（CNVD-2021-49602）、Adobe Animate释放后重用漏洞、Adobe Animate越界写入漏洞（CNVD-2021-49604）、Adobe Medium输入验证错误漏洞、Adobe Animate越界读取漏洞（CNVD-2021-49606、CNVD-2021-49609、CNVD-2021-49608、CNVD-2021-49607）。其中，“Adobe Media Encoder越界读取漏洞（CNVD-2021-49602）、Adobe Animate释放后重用漏洞、Adobe Animate越界写入漏洞（CNVD-2021-49604）、Adobe Medium输入验证错误漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco IOS XE是美国Cisco公司为其网络设备开发的一套基于Linux内核的模块化操作系统。Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Appliance是一个网络设备。用于保护各种规模的公司网络和数据中心。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以root权限在底层操作系统上执行命令，执行未签名的二进制文件，导致进程崩溃等。

CNVD收录的相关漏洞包括：Cisco Firepower Threat Defense命令注入漏洞、Cisco Firepower Threat Defense拒绝服务漏洞（CNVD-2021-50578）、Cisco IOS XE快速重载漏洞（CNVD-2021-50584、CNVD-2021-50585）、Cisco Adaptive Security Appliance和Firepower Threat Defense命令注入漏洞、Cisco Adaptive Security Appliance和Firepower Threat Defense拒绝服务漏洞（CNVD-2021-50581、CNVD-2021-50582）、Cisco IOS和IOS XE权限提升漏洞。其中，除“Cisco Adaptive Security Appliance和Firepower Threat Defense拒绝服务漏洞（CNVD-2021-50581）”外的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR WAC505是美国网件（NETGEAR）公司的一款无线接入点（AP）。NETGEAR EX7000是一款无线网络信号扩展器。NETGEAR R8500是一款无线路由器。NETGEAR R6250等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR R8300是一款无线路由器。NETGEAR D6400是一款无线调制解调器。NETGEAR D6220是一款无线调制解调器。NETGEAR D7800是一款无线调制解调器。NETGEAR R7500是一款无线路由器。NETGEAR WNDR3700是一款无线路由器。NETGEAR R6700是一款无线路由器。NETGEAR R7900是一款无线路由器。NETGEAR EX3700是一款无线网络信号扩展器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过受影响客户端向服务器发送非预期的请求，绕过身份验证，执行非法操作系统命令，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：多款NETGEAR产品跨站请求伪造漏洞（CNVD-2021-50917）、多款NETGEAR产品授权问题漏洞（CNVD-2021-50922、CNVD-2021-50918）、多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-50921、CNVD-2021-50925、CNVD-2021-50924、CNVD-2021-50926）、多款NETGEAR产品命令注入漏洞（CNVD-2021-50928）。其中，“多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-50925、CNVD-2021-50924）、多款NETGEAR产品命令注入漏洞（CNVD-2021-50928）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Siemens SINAMICS SL150是德国西门子（Siemens）公司的一个应用程序。用于高转矩慢速同步和感应电动机的循环变频器。Siemens RuggedCom ROS是一套用于RuggedCom系列交换机中的操作系统。Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞未经过身份验证的远程访问引起拒绝服务条件，或执行有限的配置修改，或执行有限的控制命令，在当前进程的上下文中执行代码等。

CNVD收录的相关漏洞包括：Siemens SINAMICS SL150输入验证错误漏洞、Siemens RUGGEDCOM ROS Devices缓冲区溢出漏洞、Siemens JT2Go和Teamcenter Visualization堆缓冲区溢出漏洞（CNVD-2021-51449、CNVD-2021-51450）、Siemens JT2Go和Teamcenter Visualization越界写入漏洞（CNVD-2021-51448、CNVD-2021-51456、CNVD-2021-51451）、Siemens JT2Go和Teamcenter Visualization越界读取漏洞（CNVD-2021-51452）。其中，“Siemens SINAMICS SL150输入验证错误漏洞、Siemens RUGGEDCOM ROS Devices缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

MikroTik RouterOS内存破坏漏洞（CNVD-2021-49784）

MikroTik RouterOS是拉脱维亚MikroTik公司的一套基于Linux开发的路由器操作系统。该系统可部署在PC中，使其提供路由器功能。上周，MikroTik RouterOS被披露存在内存破坏漏洞。攻击者可利用该漏洞导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。此外，Cisco、NETGEAR、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过受影响客户端向服务器发送非预期的请求，绕过身份验证，以root权限在底层操作系统上执行命令，执行未签名的二进制文件，导致进程崩溃或缓冲区溢出或堆溢出等。另外，MikroTik RouterOS被披露存在内存破坏漏洞。攻击者可利用该漏洞导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国建设银行、中国邮政储蓄银行、中信银行、中国光大银行、河北银行、贵州银行、桂林银行金融服务、蒙商银行报道

责任编辑：韩希宇