国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞413个，互联网上出现“MetInfo SQL注入漏洞（CNVD-2021-59068）、HuCart跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

想参赛却没底？2021信创“大比武”金融场景适配验证赛道最全答疑来了

“2021信创‘大比武’金融场景适配验证赛道”由中国电子工业标准化技术协会信息技术应用创新工作委员会指导，CFCA主办，是入选“2021信创‘大比武’活动”五个赛道中唯一的金融赛道。>>详细

在家遭“偷窥”，“云、管、端”连接安全性引人忧？物联网厂商这样应对！

基于物联网的信息安全现状，中国金融认证中心(CFCA)从云平台、管理端、设备终端切入，提出以“安全认证+安全检测”双维度应对方案来规避风险。>>详细

防范欺诈 | 三招防住网络骗局，打造最强防御

不贪图钱财，不眼馋蝇头小利，要随时保持清醒头脑，加强风险防范意识，保护好个人信息，不要让手机成为诈骗分子行骗的武器。>>详细

理财防骗指南，这六类骗局要看清！

近来，有关理财投资的话题成为大热门，人们聚会时也往往在谈论哪只基金收益更好、如何选择高收益基金、到底是买股还是买基？一时间形成全民理财的热潮。骗子也从中发现生财之道，他们到处撒下诈骗之网，一不小心就有人入套。>>详细

守护 | 关爱老年生活 防范金融风险

随着科技和互联网的发展，新型金融诈骗、非法集资犯罪突出，对老年客户来说，识骗防诈和抗风险能力都较弱，容易成为犯罪分子实施欺诈的对象。>>详细

【安全小课堂】这些电信诈骗“关键特征”您要牢记！

如果您真的遭遇电信（网络）诈骗，除了及时办理挂失账户、修改密码等方式止损外，建议您立即报警，同时保存被骗过程的转账截图、通话记录、聊天记录等信息。>>详细

农商发布 | 警惕！骗子冒充银行年检员

多家银行机构已发现以“银行年检”为幌子的诈骗类案件，其终极手段万变不离其宗，就是冒充“领导”要求转账汇款。>>详细

安全用卡需知道，守好您的钱袋子

账户密码要慎设，动态密码勿泄露，网络社交陷阱多，网络诈骗谨提防，身份验证防诈骗，安全用卡需牢记，个人信息严把守，安全意识记心间。>>详细

【安全提示】警惕钓鱼网站骗取账户信息

近日，有不法分子冒用社保部门名义，发短信给市民，称社保账户未上传电子审核，需要市民点击链接或提供个人相关信息。向持卡人索取社会保障卡卡号、密码和短信验证码等个人信息，诱导持卡人向指定账户转账，继而实施诈骗活动。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年8月2日-8日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞413个，其中高危漏洞106个、中危漏洞247个、低危漏洞60个。漏洞平均分值为5.58。上周收录的漏洞中，涉及0day漏洞248个（占60%），其中互联网上出现“MetInfo SQL注入漏洞（CNVD-2021-59068）、HuCart跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

NETGEAR产品安全漏洞

NETGEAR WNR3500L等都是美国网件（NETGEAR）公司的产品。WNR3500L是一款无线路由器。NETGEAR D6220是一款无线调制解调器。WN2500RP是一款无线网络信号扩展器。NETGEAR WAC505等都是美国网件（NETGEAR）公司的一款无线接入点（AP）。NETGEAR R6700等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR R7800等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR R8000是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR JNR1010等都是美国网件（NETGEAR）公司的一款无线路由器。NETGEAR D7000是一款无线调制解调器。NETGEAR WNR2020是一款无线路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过受影响客户端向服务器发送非预期的请求，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-59154、CNVD-2021-59157、CNVD-2021-59166）、多款NETGEAR产品跨站请求伪造漏洞（CNVD-2021-59156、CNVD-2021-59162、CNVD-2021-59165）、NETGEAR R8000缓冲区溢出漏洞、NETGEAR R6700v2、R6800和R6900v2缓冲区溢出漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle E-Business Suite是在原来Application（ERP）基础上的扩展，包括ERP（企业资源计划管理）、HR（人力资源管理）、CRM（客户关系管理）等等多种管理软件的集合，是无缝集成的一个管理套件。Oracle Workflow是其中的可帮助交付一个完整的工作流管理系统的一系列工具。Oracle Marketing是其中的营销软件。Oracle Public Sector Financials (International)扩展了Oracle Financials功能，并为公共部门机构的集成财务管理解决方案提供了基础。Oracle Collaborative Planning是一个基于Internet的协作解决方案，通过提供跨虚拟供应链的协作需求、供应和库存计划的高级功能来快速显著提高供应链绩效。Oracle Outside In Technology是一套软件开发工具包 (SDK)，为开发人员提供了一个提取、规范化、清理、转换和查看600多种非结构化文件格式的内容的综合解决方案。Oracle Database Server是一个对象一关系数据库管理系统，提供开放的、全面的、集成的信息管理方法。上周，上述产品被披露存在未授权访问漏洞，攻击者可利用漏洞可能导致对关键数据或所有Oracle Web Applications Desktop Integrator可访问数据的未授权创建、删除或修改访问，以及对关键数据的未授权访问或对所有Oracle Web Applications Desktop Integrator可访问数据的完全访问等。

CNVD收录的相关漏洞包括：Oracle Outside In Technology存在未授权访问漏洞、Oracle E-Business Suite未授权访问漏洞（CNVD-2021-57454、CNVD-2021-57446、CNVD-2021-57443、CNVD-2021-57442、CNVD-2021-57441、CNVD-2021-57440）、Oracle Database Server未授权访问漏洞（CNVD-2021-57455）。其中“Oracle E-Business Suite未授权访问漏洞（CNVD-2021-57445、CNVD-2021-57444）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞实现远程代码执行。

CNVD收录的相关漏洞包括：Microsoft Windows和Windows Server远程代码执行漏洞（CNVD-2021-58239、CNVD-2021-58238、CNVD-2021-58244、CNVD-2021-58243、CNVD-2021-58242、CNVD-2021-58241、CNVD-2021-58246、CNVD-2021-58245）。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit PDF Reader是中国福昕（Foxit）公司的一款PDF阅读器。上周，上述产品被披露存在远程代码执行漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：Foxit PDF Reader远程代码执行漏洞（CNVD-2021-59167、CNVD-2021-59171、CNVD-2021-59170、CNVD-2021-59169、CNVD-2021-59168）、Foxit PDF Reader Annotation远程代码执行漏洞（CNVD-2021-59175、CNVD-2021-59174、CNVD-2021-59173）。目前，厂商已经发布了上述漏洞的修补程序。

QSAN多款产品访问控制错误漏洞

QSAN SANOS等都是中国QSAN公司的产品。QSAN SANOS是SAN存储管理操作系统。QSAN XEVO是一款闪存数据管理系统。QSAN Storage Manager是一个NAS操作系统。上周，QSAN多款产品被披露存在访问控制错误漏洞。攻击者可利用该漏洞发现用户凭据并通过暴力破解获得访问权限。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，NETGEAR产品被披露存在多个漏洞，攻击者可利用漏洞通过受影响客户端向服务器发送非预期的请求，导致缓冲区溢出或堆溢出等。此外，Oracle、Microsoft、Foxit等多款产品被披露存在多个漏洞，攻击者可利用漏洞可能导致对关键数据或所有Oracle Web Applications Desktop Integrator可访问数据的未授权创建、删除或修改访问，以及对关键数据的未授权访问或对所有Oracle Web Applications Desktop Integrator可访问数据的完全访问，实现远程代码执行。另外，QSAN多款产品被披露存在访问控制错误漏洞。攻击者可利用该漏洞发现用户凭据并通过暴力破解获得访问权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、交通银行、中信银行、广发银行、杭州银行、成都农商银行、无锡农村商业银行、四川农信报道

责任编辑：韩希宇