国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞594个，互联网上出现“LJCMS SQL注入漏洞、baigo CMS跨站脚本漏洞（CNVD-2021-53924）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

最高法发布司法解释规范人脸识别 不得强迫自然人同意处理人脸信息

最高人民法院副院长杨万明表示，人脸信息属于敏感个人信息中的生物识别信息，是生物识别信息中社交属性最强、最易采集的个人信息，具有唯一性和不可更改性，一旦泄露将对个人的人身和财产安全造成极大危害，甚至还可能威胁公共安全。>>详细

工信部启动互联网行业专项整治行动，聚焦侵害用户权益等问题

专项整治行动聚焦扰乱市场秩序、侵害用户权益、威胁数据安全、违反资源和资质管理规定等四方面8类问题，涉及22个具体场景。>>详细

打通最后一公里 CFCA助力交通银行银企直联业务安全平稳上云

交通银行与中国金融认证中心（CFCA）合作，引入CFCA银企云签名服务平台，推出银企直联开放服务，并在北京分行和广西分行相继落地，进一步深化银企合作，服务实体经济。>>详细

生物识别安全隐患仍存：拿什么来保护我们的“身体密码”？

我们需要通过优化生物识别认证算法，或结合其他安全认证原理，结合特定的应用场景，才能实现可靠性、安全性的防护，防止误认、漏认等风险的发生。>>详细

同学们，假期金融安全小贴士看过来~

遇到自称朋友、熟人要求转账汇款时一定要提高警惕，务必通过视频电话或者当面确认其身份后再进行操作。>>详细

接一个电话被骗80万！广发信用卡揭秘电信诈骗套路

随着数字技术的发展，新型诈骗手法层出不穷，严重危害了广大群众的财产安全。为提高广大群众防范电信诈骗意识，守护防电信诈骗“最后一公里”，广发信用卡对电信诈骗几大招数进行揭秘。>>详细

【小河讲反洗钱】警惕“币圈”文化

不要相信天花乱坠的承诺，不要盲目跟风炒作，时刻警惕投机风险，避免自身财产损失。>>详细

【以案说险】教您防范电信网络诈骗之谨防“作品获奖”骗局

不法分子利用老年人的兴趣爱好和自我实现的心理需求，以作品获奖需交纳制证费、作品发表费以及奖金汇款手续费等方式，骗取老年人钱财。>>详细

全民反诈，谨防被骗

凡事不见面、不履行相关手续要求转账、汇款的，请一律拒绝。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年7月19日-25日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞594个，其中高危漏洞162个、中危漏洞375个、低危漏洞57个。漏洞平均分值为5.55。上周收录的漏洞中，涉及0day漏洞301个（占51%），其中互联网上出现“LJCMS SQL注入漏洞、baigo CMS跨站脚本漏洞（CNVD-2021-53924）”等零日代码攻击漏洞。

上周重要漏洞安全告警

NETGEAR产品安全漏洞

NETGEAR R6300是一款无线路由器。NETGEAR PLW1000是一款电力线通讯调制解调器。NETGEAR D7800是一款无线调制解调器。NETGEAR R7500是一款无线路由器。NETGEAR WNDR3700和NETGEAR R6220都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR R6250等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR EX6200等都是美国网件（NETGEAR）公司的一款无线网络信号扩展器。NETGEAR WAC510、NETGEAR WAC505和NETGEAR WAC510都是美国网件（NETGEAR）公司的一款无线接入点（AP）。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，提升权限，执行非法操作系统命令，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：NETGEAR R6300、PLW1000和PLW1010授权问题漏洞、多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-52563）、多款NETGEAR产品跨站请求伪造漏洞（CNVD-2021-52569）、NETGEAR WNDR3700和R6220操作系统命令注入漏洞、NETGEAR WAC510授权问题漏洞、NETGEAR WAC510权限提升漏洞、NETGEAR WAC505和WAC510操作系统命令注入漏洞、多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-52952）。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Android是美国Google公司和开放手持设备联盟（简称OHA）共同开发的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在远程代码执行和权限提升漏洞，攻击者可利用漏洞导致本地权限提升，实现远程代码执行。

CNVD收录的相关漏洞包括：Google Android System远程代码执行漏洞（CNVD-2021-52330、CNVD-2021-52331）、Google Android System权限提升漏洞（CNVD-2021-52340、CNVD-2021-52338、CNVD-2021-52343、CNVD-2021-52341、CNVD-2021-52344）、Google Android Media Framework权限提升漏洞（CNVD-2021-52346）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。Adobe Premiere Pro是Adobe公司推出的一款基于时间轴的视频编辑软件。Adobe Prelude是一款专为媒体整理和元数据输入而设计的视频记录和采集工具，可快速标记和转码视频素材并快速创建粗剪。Adobe Character Animator是一款动作捕获和动画制作工具,它可以为每个人提供一个用于直观地制作2D人物动画、实时动画以及轻松共享和发布人物的易于使用的解决方案。Adobe After Effects（简称“AE”）是Adobe公司推出的一款图形视频处理软件，适用于从事设计和视频特技的机构，包括电视台、动画制作公司、个人后期制作工作室以及多媒体工作室。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Photoshop栈缓冲区溢出漏洞、Adobe Premiere Pro内存越界访问漏洞、Adobe Prelude内存越界访问漏洞、Adobe Character Animator内存越界访问漏洞、Adobe After Effects越界写入漏洞（CNVD-2021-54342、CNVD-2021-54341）、Adobe After Effects内存越界访问漏洞（CNVD-2021-54339、CNVD-2021-54343）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞导致拒绝服务。

CNVD收录的相关漏洞包括：Oracle MySQL Server拒绝服务漏洞（CNVD-2021-54025、CNVD-2021-54027、CNVD-2021-54369、CNVD-2021-54368、CNVD-2021-54372、CNVD-2021-54371、CNVD-2021-54370、CNVD-2021-54375）目前，厂商已经发布了上述漏洞的修补程序。

D-LINK DIR-3040信息泄露漏洞（CNVD-2021-53338）

D-LINK DIR-3040是中国台湾友讯（D-Link）公司的一个路由器，提供连接网络的功能。上周，D-LINK DIR-3040被披露存在信息泄露漏洞。攻击者可利用该漏洞发送HTTP请求导致敏感信息的泄露。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，NETGEAR产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，提升权限，执行非法操作系统命令，导致缓冲区溢出或堆溢出等。此外，Google、Adobe、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升，执行任意代码，导致拒绝服务。另外，D-LINK DIR-3040被披露存在信息泄露漏洞。攻击者可利用该漏洞发送HTTP请求导致敏感信息的泄露。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工信部网站、中国证券报·中证网、中国邮政储蓄银行、广发银行、河北银行、桂林银行金融服务、广州农村商业银行报道

责任编辑：韩希宇