国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞603个，互联网上出现“Accela Civic Platform信息泄露漏洞、GetSimple CMS跨站脚本漏洞（CNVD-2021-61755）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

国务院发布《关键信息基础设施安全保护条例》

《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过，现予公布，自2021年9月1日起施行。>>详细

司法部 网信办 工业和信息化部 公安部负责人就《关键信息基础设施安全保护条例》答记者问

实践中，一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动，影响关键信息基础设施安全。>>详细

安全形势日益复杂，如何有效满足各行业移动安全刚需？

移动金融涉及互联网服务端和移动用户终端之间的信息互联，传统安全防护手段已无法应对，移动安全技术和产品亟待升级更新。>>详细

CFCA与百度深化战略合作 助推行业数智化转型

8月18日，中国金融认证中心（CFCA）与百度举办了战略合作签约仪式，CFCA董事长兼总经理胡莹、百度副总裁李硕出席。双方将通过技术与场景的深度融合与联合创新，共建行业科技生态圈。>>详细

国标行标同步聚焦 金融业数据中心合规建设到位了吗？

伴随云计算和大数据时代的到来，金融数字化进程加速，在线金融业务快速普及、高频交易，这对数据中心基础设施的数量、规模、算力也提出了更高要求。>>详细

防范打击跨境赌博，筑牢资金安全防线

不出租、出借、出售任何形式的个人金融账户，包括银行卡，支付二维码等。>>详细

【安全课堂】企业财务人员，请查收这份安全锦囊

对于网络社交平台不明的好友申请，应保持谨慎，务必仔细核实确认对方身份真假，不要仅仅依据头像和昵称就认定对方身份。>>详细

普及|开学季防诈骗，这份“防骗指南”请收好！

开学季即将到来，每年到了这个时候，就有不法分子伺机实施诈骗。小编提醒您，这些诈骗手段一定要当心！>>详细

差旅中的信息安全，这些知识你必须知道

由于出差是在陌生的环境出入，敏感数据和资源被窃的风险因此大增。为确保个人信息安全，避免公司财产损失，需要针对差旅中的安全风险采取相应的安全防范措施。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年8月9日-15日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞603个，其中高危漏洞135个、中危漏洞403个、低危漏洞65个。漏洞平均分值为5.52。上周收录的漏洞中，涉及0day漏洞382个（占63%），其中互联网上出现“Accela Civic Platform信息泄露漏洞、GetSimple CMS跨站脚本漏洞（CNVD-2021-61755）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美国微软（Microsoft）公司的产品。Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。Microsoft Visual Studio Code是一款开源的代码编辑器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft Visual Studio Code命令注入漏洞（CNVD-2021-61415）、Microsoft Windows和Windows Server权限提升漏洞（CNVD-2021-61773、CNVD-2021-61772、CNVD-2021-61771、CNVD-2021-61777、CNVD-2021-61781、CNVD-2021-61784、CNVD-2021-61782）。其中，除“Microsoft Windows和Windows Server权限提升漏洞（CNVD-2021-61772、CNVD-2021-61771、CNVD-2021-61777）” 外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Siemens SINEC NMS是德国西门子（Siemens）公司的一个网络管理系统 (NMS)。Siemens SIMATIC S7-1200是一款S7-1200系列PLC（可编程逻辑控制器）。SIMATIC S7-1500 CPU是一款CPU（中央处理器）模块。SIMATIC S7-1500是一款可编程逻辑控制器。Siemens Solid Edge是一款三维CAD软件。Siemens Automation License Manager集中管理各种西门子软件产品的许可证密钥。Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。上周，上述产品被披露存在未授权访问漏洞，攻击者可利用漏洞绕过身份验证，越界访问，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Siemens Jt2go和Teamcenter Visualization空指针解引用漏洞、Siemens SINEC NMS OS命令注入漏洞、Siemens SIMATIC S7-1200缺少身份验证漏洞、Siemens SIMATIC S7-1500 CPU和SIMATIC S7-1500不正确授权漏洞、Siemens Solid Edge XML外部实体注入漏洞、Siemens Solid Edge释放后重用漏洞、Siemens Solid Edge缓冲区溢出漏洞（CNVD-2021-61127）、Siemens Automation License Manager拒绝服务漏洞（CNVD-2021-61126）。其中“Siemens SINEC NMS OS命令注入漏洞、Siemens SIMATIC S7-1200缺少身份验证漏洞、Siemens Solid Edge释放后重用漏洞、Siemens Solid Edge缓冲区溢出漏洞（CNVD-2021-61127）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR D8500、NETGEAR R7800、NETGEAR D6100、NETGEAR WNDR3700、NETGEAR R8900、NETGEAR EX7000、NETGEAR R6250都是美国网件（NETGEAR）公司的无线路由器产品。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行非法命令，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：多款NETGEAR产品命令注入漏洞（CNVD-2021-61058、CNVD-2021-61057）、多款NETGEAR产品缓冲区溢出漏洞（CNVD-2021-61056、CNVD-2021-61059、CNVD-2021-61062、CNVD-2021-61061、CNVD-2021-61060、CNVD-2021-61054）。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是WordPress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞注入任意的web脚本或HTML，获取敏感信息，执行任意代码等。

CNVD收录的相关漏洞包括：WordPress跨站请求伪造漏洞（CNVD-2021-59587）、WordPress W3 Total Cache插件跨站脚本漏洞、WordPress WP Image Zoom插件文件包含漏洞、WordPress Event Espresso Core跨站脚本漏洞、WordPress插件跨站脚本漏洞（CNVD-2021-59594、CNVD-2021-59603）、WordPress信息泄露漏洞（CNVD-2021-59604）、WordPress SQL注入漏洞（CNVD-2021-61432）。目前，厂商已经发布了上述漏洞的修补程序。

Advantech WebAccess HMI Designer缓冲区溢出漏洞（CNVD-2021-60558）

Advantech WebAccess HMI Designer是中国台湾研华（Advantech）公司的一款人机界面集成开发工具。上周，Advantech WebAccess HMI Designer被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞使用专门设计的项目文件，触发基于堆的缓冲区溢出，并在目标系统上执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行任意代码等。此外，Siemens、NETGEAR、WordPress等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过身份验证，获取敏感信息，执行任意代码，导致拒绝服务，缓冲区溢出或堆溢出等。另外，Advantech WebAccess HMI Designer被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞使用专门设计的项目文件，触发基于堆的缓冲区溢出，并在目标系统上执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国政府网、司法部、工行电子银行、民生银行手机银行、微青银、广东农信报道

责任编辑：韩希宇