国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞562个，互联网上出现“WordPress SP Project And Document远程代码执行漏洞、MIK.starlight输入验证错误漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

规范用卡 | 管好个人“两卡”，斩断电信网络诈骗犯罪链条

严厉打击涉“两卡”违法犯罪，已经成为斩断电信网络诈骗犯罪帮助链条、遏制电信网络诈骗犯罪高发态势、加强源头治理的关键环节。>>详细

守护消费者支付安全 中国银联启动2021年移动支付安全大调查活动

9月10日上午，中国银联联合18家全国性商业银行及多家支付机构共同启动2021年移动支付安全大调查活动。这是中国银联连续第十五年跟踪消费者移动支付安全的变化。>>详细

安全出行 科技护航 车联网V2X安全技术浅析

作为信息安全领域举足轻重的企业之一，CFCA投入建设了车联网专用V2X CA，保障车辆与外部环境间的网络通信安全。同时，配合公司传统优势X.509 CA，还能够确保车内各模块间的通信安全，为车联网各环节的通信安全保驾护航。>>详细

《关键信息基础设施安全保护条例》发布，对密评有何影响？

商用密码应用安全性评估，指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。>>详细

【上银消保】同学，你这样追星是会被骗钱的！

涉世未深且容易冲动消费的学生党，很容易成为追星骗局的主要受害者，如果在微信等社交软件上遇到陌生人，应该谨慎交易，不要轻易相信任何需要付钱的行为。>>详细

【风险提示】“下载APP”陷阱多，警惕新型电信网络诈骗！

数据表明，在假冒公检法、刷单、投资等各类骗局的背后，通过诱骗受害人“下载APP”获取隐私数据进而实施诈骗的作案手法近年来占比明显提高。>>详细

开学季金融安全课堂来啦！

新学期，新征程。今天的杭州银行金融安全课堂从真实案例入手，聊一聊身边的网络诈骗，提醒学生们要保持警惕，避免落入网络诈骗的陷阱，让不法分子无可乘之机。>>详细

【警惕】提醒父母，三类养老骗局要当心！

养老、健康一直是老年人关注的重点，但骗子却趁机打起老年人的主意，把养老变成了“坑老”，甚至损害了老年人的身体健康。三类常见的老年人诈骗套路要当心！>>详细

OK金融课堂丨谨防虚假投资理财诈骗

牢记“投资理财常用诈骗套路”，选择安全且正规的投资理财渠道，保护个人财产安全，守护好您的钱袋子！>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年9月6日-12日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞562个，其中高危漏洞144个、中危漏洞377个、低危漏洞41个。漏洞平均分值为5.72。上周收录的漏洞中，涉及0day漏洞397个（占71%），其中互联网上出现“WordPress SP Project And Document远程代码执行漏洞、MIK.starlight输入验证错误漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows是一套个人设备使用的操作系统。Microsoft Windows Server是一套服务器操作系统。MSHTML（又称为Trident）是微软旗下的Internet Explorer浏览器引擎，虽然MHTML主要用于已被弃用的Internet Explorer浏览器，但该组件也用于Office应用程序，以在 Word、Excel或PowerPoint文档中呈现Web托管的内容。上周，上述产品被披露存在权限提升和远程执行代码漏洞，攻击者可利用漏洞实现权限提升，执行任意代码。

CNVD收录的相关漏洞包括：Microsoft Windows/Windows Server权限提升漏洞（CNVD-2021-68742、CNVD-2021-68741、CNVD-2021-68743、CNVD-2021-68748、CNVD-2021-68749）、Microsoft MSHTML远程代码执行漏洞、Microsoft HEVC Video Extensions远程代码执行漏洞（CNVD-2021-70142、CNVD-2021-70141）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco NX-OS Software是美国思科（Cisco）公司的一套交换机使用的数据中心级操作系统软件。Cisco Application Policy Infrastructure Controller（APIC）是美国思科（Cisco）公司的一款自动化的基础架构部署和治理解决方案。Cisco Evolved Programmable Network Manager是美国思科（Cisco）公司的一套网络管理解决方案。Cisco SD-WAN Solution是Cisco的一套网络扩展解决方案，vManage是其中的控制台。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞获取敏感信息，提升权限，在受影响的设备上读取或写入任意文件，导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：Cisco NX-OS Software拒绝服务漏洞（CNVD-2021-68723、CNVD-2021-68721、CNVD-2021-68727）、Cisco Application Policy Infrastructure Controller任意文件读写漏洞、Cisco Application Policy Infrastructure Controller权限提升漏洞（CNVD-2021-68725、CNVD-2021-68724）、Cisco Evolved Programmable Network Manager信息泄露漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2021-68733）。其中，“Cisco Application Policy Infrastructure Controller权限提升漏洞（CNVD-2021-68725、CNVD-2021-68724）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache jUDDI是一个服务于WebServices 的UDDI的java实现开源包。Apache CXF是美国阿帕奇（Apache）基金会的一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。Apache ServiceComb Service-Center是Apache基金会的一个基于Restful的服务注册中心，提供微服务发现和微服务管理。Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台。Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。Apache Zeppelin是美国阿帕奇（Apache）基金会的一款基于Web的开源笔记本应用程序，该程序支持交互式数据分析和协作文档。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞绕过身份验证过程，注入恶意脚本，导致拒绝服务攻击。

CNVD收录的相关漏洞包括：Apache jUDDI代码问题漏洞、Apache CXF资源管理错误漏洞（CNVD-2021-70100）、Apache ServiceComb Service-Center路径遍历漏洞、Apache Pulsar数据伪造问题漏洞、Apache HTTP Server拒绝服务漏洞（CNVD-2021-70103）、Apache Zeppelin跨站脚本漏洞、Apache Zeppelin命令注入漏洞、Apache Zeppelin身份验证绕过漏洞。其中，“Apache Pulsar数据伪造问题漏洞、Apache HTTP Server拒绝服务漏洞（CNVD-2021-70103）、Apache Zeppelin命令注入漏洞” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat是由Adobe公司开发的一款PDF编辑软件。Adobe Reader（也被称为Acrobat Reader)是由Adobe公司开发的一款PDF文件阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Acrobat/Reader越界写入漏洞（CNVD-2021-70144）、Adobe Acrobat/Reader类型混淆漏洞（CNVD-2021-70147）、Adobe Acrobat/Reader释放后重用漏洞（CNVD-2021-70146、CNVD-2021-70145、CNVD-2021-70148）、Adobe Acrobat/Reader越界读取漏洞（CNVD-2021-70151、CNVD-2021-70152、CNVD-2021-70149）。其中，“Adobe Acrobat/Reader释放后重用漏洞（CNVD-2021-70145）、Adobe Acrobat/Reader路径遍历漏洞（CNVD-2021-70149）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

DIAEnergie跨站请求伪造漏洞

DIAEnergie是Delta Electronics推出的一款工业能源管理系统。上周，DIAEnergie被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞执行未授权操作。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在权限提升和远程执行代码漏洞，攻击者可利用漏洞实现权限提升，执行任意代码。此外，Cisco、Apache、Adobe等多款产品被披露存在多个漏洞，攻击者可利用该漏洞绕过身份验证过程，获取敏感信息，注入恶意脚本，提升权限，在受影响的设备上读取或写入任意文件，执行任意代码，导致拒绝服务攻击等。另外，DIAEnergie被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞执行未授权操作。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国银联、中国银行微银行、交通银行、招商银行、上海银行、杭州银行消保之声、广西北部湾银行微生活报道

责任编辑：韩希宇