国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞469个，互联网上出现“WordPress Pie Register权限提升漏洞、WordPress插件Picture Gallery 'Edit Content URL'跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

易纲：加大个人信息保护力度，探索实现更合理的数据使用

要在充分保护个人信息的前提下，探索实现更加精确的数据确权，更加便捷的数据交易，更合理的数据使用，激发市场主体活力和科技创新能力。>>详细

中国互联网金融协会陆书春：金融数据治理能力需进一步提高

个人信息保护是数字化时代各领域发展面临的共同问题，推动金融数字化转型，保证金融科技可持续发展，需要金融机构和科技企业不断加强个人信息保护方面的主体责任意识，在内部控制、数据治理、消费者保护等方面进一步补短板、强弱项、堵漏洞。>>详细

十强出炉！“2021信创‘大比武’金融场景适配验证赛道”入围总决赛名单揭晓

信创为道，淬炼成金。9月28-29日，由中国金融认证中心（CFCA）主办的“2021信创‘大比武’金融场景适配验证赛道”项目路演暨专家评审工作在京圆满完成。>>详细

中国互联网协会个人信息保护倡议书

《中华人民共和国个人信息保护法》于2021年11月1日起施行，为保护个人信息权益、规范个人信息处理活动、促进个人信息合理利用提供了明确的法律依据。>>详细

CFCA易企存：基于区块链的可信存证平台

金融领域当中，手机银行、直销银行、线上贷款、互联网保险等都是易企存主流应用场景。值得一提的是，目前汽车金融市场正处于高速发展阶段，汽车金融行业互联网+模式也在不断探索，将成为易企存电子数据存证服务的重要应用场景。>>详细

《个人信息保护法》正式落地 征信市场悄然发生变化 业内人士：还应加强算法监管

在数字化时代，个人信息无疑是数字经济的基础和环境，亦是金融行业未来发展的重要基础。因此这一法律的正式落地，对金融行业影响深远。>>详细

金融机构须进一步加强数据安全治理 访中国信通院云计算与大数据研究所副所长魏凯

大多数金融企业的数据安全部门还是在网络与信息安全部门下的一个小的分支，且兼任情况较为普遍，网络与信息安全部门工作人员中的数据安全相关工作人员占比明显偏低。>>详细

【知识】网络诈骗套路深，为你揭秘防入坑

网络诈骗作案手法变化快、社会危害大、侦破困难，只有了解网络诈骗套路，才能有效防止入坑。>>详细

中国银联开展“反诈拒赌，安全支付”全国高校反诈反赌知识竞赛活动

面向大学生、社会公众、网民广泛征集反诈反赌宣传作品，切实提高社会反诈拒赌和依法使用账户的法律意识。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年10月25日-31日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞469个，其中高危漏洞86个、中危漏洞338个、低危漏洞45个。漏洞平均分值为5.31。上周收录的漏洞中，涉及0day漏洞292个（占62%），其中互联网上出现“WordPress Pie Register权限提升漏洞、WordPress插件Picture Gallery 'Edit Content URL'跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe 产品安全漏洞

Adobe Photoshop，简称“PS”，是由Adobe公司开发和发行的图像处理软件。Adobe XMP Toolkit SDK可让您将XMP功能集成到您的产品或解决方案中。Adobe Experience Manager是一款企业内容管理解决方案，可帮助您简化内容和资产的管理和投放。Adobe Genuine Service是一项免费服务，可定期验证您计算机上的Adobe应用程序是否为正版，如果不是，则通知客户。Adobe Digital Editions软件提供一种引人入胜的方式帮助您查看和管理eBooks和其它数字出版物。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取任意文件，提升权限，执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Photoshop缓冲区溢出漏洞（CNVD-2021-79743）、Adobe XMP Toolkit SDK越界读取漏洞（CNVD-2021-79742）、Adobe Experience Manager跨站脚本漏洞（CNVD-2021-79744、CNVD-2021-79748）、Adobe Genuine Service权限提升漏洞、Adobe Digital Editions任意文件系统写入漏洞、Adobe Digital Editions OS命令注入漏洞（CNVD-2021-79749）、Adobe Digital Editions权限提升漏洞（CNVD-2021-79751）。其中，“Adobe Photoshop缓冲区溢出漏洞（CNVD-2021-79743）、Adobe Digital Editions OS命令注入漏洞（CNVD-2021-79749）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco IOS XE SD-WAN Software是美国思科（Cisco）公司的一款应用于Cisco IOS XE 网络操作系统的用于网络管理（软件定义网络）的软件。Cisco IOS是一套为其网络设备开发的操作系统。Cisco IOS XE Software是一个操作系统。用于企业有线和无线访问，汇聚，核心和WAN的单一操作系统，Cisco IOS XE降低了业务和网络的复杂性。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞重新加载受影响的设备，执行任意命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：Cisco IOS XE SD-WAN Software命令注入漏洞、Cisco IOS XE Software拒绝服务漏洞（CNVD-2021-80662、CNVD-2021-80665、CNVD-2021-80663）、Cisco IOS XE Software身份验证绕过漏洞、Cisco IOS XE Software访问控制错误漏洞（CNVD-2021-80664）、Cisco IOS和Cisco IOS XE Software拒绝服务漏洞（CNVD-2021-80669、CNVD-2021-80666）。其中，“Cisco IOS XE SD-WAN Software命令注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。上周，上述产品被披露存在输入验证错误漏洞，攻击者可利用漏洞操纵数据，执行拒绝服务（DoS）攻击。

CNVD收录的相关漏洞包括：Oracle MySQL Server输入验证错误漏洞（CNVD-2021-80244、CNVD-2021-80242、CNVD-2021-80247、CNVD-2021-80246、CNVD-2021-80245、CNVD-2021-80250、CNVD-2021-80249、CNVD-2021-80248）。目前，厂商已经发布了上述漏洞的修补程序。

HPE产品安全漏洞

HPE Aruba ClearPass Policy Manager是一个网络访问控制（NAC）解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞越权访问web界面的敏感信息，提升权限，执行任意命令。

CNVD收录的相关漏洞包括：HPE Aruba ClearPass Policy Manager远程命令注入漏洞（CNVD-2021-80165、CNVD-2021-80164、CNVD-2021-80166、CNVD-2021-80177）、HPE Aruba ClearPass Policy Manager信息泄露漏洞（CNVD-2021-80163、CNVD-2021-80169）、HPE Aruba ClearPass Policy Manager本地权限提升漏洞、HPE Aruba ClearPass Policy Manager远程目录遍历漏洞。其中，除“HPE Aruba ClearPass Policy Manager信息泄露漏洞（CNVD-2021-80163）、CNVD-2021-80169）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Projectsend目录遍历漏洞

ProjectSend是一款免费、面向客户的私有文件共享Web应用程序。上周，Projectsend被披露存在目录遍历漏洞。该漏洞源于对files[]参数的输入缺少验证。攻击者可利用漏洞通过添加../将所有PHP文件或系统上有权访问的任何文件移动到/upload/files/文件夹。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞读取任意文件，提升权限，执行任意代码等。此外，Cisco、Oracle、HPE等多款产品被披露存在多个漏洞，攻击者可利用漏洞越权访问web界面的敏感信息，提升权限，执行任意命令，导致拒绝服务等。另外，Projectsend被披露存在目录遍历漏洞。攻击者可利用漏洞通过添加../将所有PHP文件或系统上有权访问的任何文件移动到/upload/files/文件夹。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、中国互联网协会、中国证券报·中证网、金融时报-中国金融新闻网、财联社、中国银联、中国光大银行报道

责任编辑：韩希宇