国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞534个，互联网上出现“Wordpress插件Download From Files任意文件上传漏洞、WordPress Popular Posts远程代码执行漏洞（CNVD-2021-102873）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

网络安全审查范围框定，境外上市规则逐步明确

掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。>>详细

国家互联网信息办公室等四部门发布《互联网信息服务算法推荐管理规定》

《规定》明确，应用算法推荐技术，是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。>>详细

【安全】妥善使用银行卡，这些常识要了解

银行卡的用卡常识覆盖多个方面，包括办卡安全、支付安全、资金安全、个人信息安全、征信安全等常识。>>详细

第三方支付安全产品应用，让数据零风险，支付更安心

CFCA凭借多年在金融行业信息安全领域的研究和实践经验，为第三方支付行业搭建了全方位的信息安全综合服务体系，研发了一整套基于多种密码算法（包括国产密码算法）的安全应用产品。>>详细

【消保】保持信用记录，不要忽视这些小事

“人无信不立，业无信不兴”，未来社会，大数据技术不断深化发展，可以预见，个人征信将在越来越多的生活工作领域发挥重要作用，愿大家都能维护好自己的信用记录。>>详细

认清洗钱的“坑”，远离洗钱的“恶”！

洗钱手段层出不穷，对社会危害极大。作为守法公民，我们能为反洗钱建设做些什么呢？六个小贴士送给大家。>>详细

移动支付风险普及 | 如何让老年人提高风险防范意识？

警惕假冒的虚假短信、微信、邮件等广告，不要点击不明链接，目前各类电信诈骗手段不断翻新，显现高智商、高隐蔽性等特点，很多情况下容易被忽视或存在漏洞与风险。>>详细

安全威胁播报

上周漏洞基本情况

上周（2021年12月27日-2022年1月2日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞534个，其中高危漏洞139个、中危漏洞320个、低危漏洞75个。漏洞平均分值为5.68。上周收录的漏洞中，涉及0day漏洞197个（占37%），其中互联网上出现“Wordpress插件Download From Files任意文件上传漏洞、WordPress Popular Posts远程代码执行漏洞（CNVD-2021-102873）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Magento是Adobe公司旗下一款用PHP编写的开源电子商务平台。Adobe Framemaker是美国奥多比（Adobe）公司的一套用于编写和编辑大型或复杂文档（包括结构化文档）的页面排版软件。Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，绕过安全特性，提升权限，执行任意代码，导致缓冲区溢出或堆溢出等。

CNVD收录的相关漏洞包括：Adobe Magento输入验证错误漏洞（CNVD-2021-102806、CNVD-2021-102805、CNVD-2021-102809、CNVD-2021-102808、CNVD-2021-102807）、Adobe Framemaker缓冲区溢出漏洞（CNVD-2021-102813、CNVD-2021-102812）、Adobe Acrobat Reader路径遍历漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco IOS XR Software是美国思科（Cisco）公司的一套为其网络设备开发的操作系统。Cisco Small Business RV Series Routers是美国思科（Cisco）公司的一款RV系列路由器。Cisco Unified Communications Manager是美国思科（Cisco）公司的一款统一通信系统中的呼叫处理组件。该组件提供了一种可扩展、可分布和高可用的企业IP电话呼叫处理解决方案。Cisco Anyconnect Secure Mobility Client是美国思科（Cisco）公司的一款用于安全连接的VPN客户端软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞向服务器发送非预期的请求，在受影响的设备上升级特权，执行任意命令等。

CNVD收录的相关漏洞包括：Cisco IOS XR Software任意文件读写漏洞、Cisco IOS XR Software命令注入漏洞（CNVD-2021-102364）、Cisco IOS XR Software权限提升漏洞（CNVD-2021-102362、CNVD-2021-102367）、Cisco IOS XR Software拒绝服务漏洞（CNVD-2021-102366）、Cisco Small Business RV Series Routers命令注入漏洞、Cisco Unified Communications Manager跨站请求伪造漏洞（CNVD-2021-103095）、Cisco AnyConnect Secure Mobility Client权限提升漏洞（CNVD-2021-103367）。其中，“Cisco IOS XR Software任意文件读写漏洞、Cisco IOS XR Software权限提升漏洞（CNVD-2021-102362）、Cisco Small Business RV Series Routers命令注入漏洞、Cisco AnyConnect Secure Mobility Client权限提升漏洞（CNVD-2021-103367）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，删除任意文件，导致拒绝服务等。

CNVD收录的相关漏洞包括：Huawei Emui和Magic UI数据处理错误漏洞、Huawei HarmonyOS数组越界漏洞、Huawei HarmonyOS越界读取漏洞（CNVD-2021-102855、CNVD-2021-103539）、Huawei HarmonyOS堆溢出漏洞、Huawei HarmonyOS路径遍历漏洞（CNVD-2021-103534、CNVD-2021-103541）、Huawei HarmonyOS整数溢出漏洞（CNVD-2021-103536）。其中，除“Huawei HarmonyOS路径遍历漏洞（CNVD-2021-103534、CNVD-2021-103541）、Huawei HarmonyOS越界读取漏洞（CNVD-2021-103539）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle Solaris是一款类Unix操作系统。Oracle Transportation Management (OTM)为公司提供了一个单一平台来管理整个供应链中的所有运输活动。Java SE是Java平台标准版的简称，用于开发和部署桌面、服务器以及嵌入设备和实时环境中的Java应用程序。Oracle HTTP Server是Oracle Fusion Middleware的Web服务器组件。Oracle Hyperion Financial Reporting是一款财务报表生成软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，进行未经授权的更新、插入或删除访问等。

CNVD收录的相关漏洞包括：Oracle Solaris拒绝服务漏洞（CNVD-2021-102406、CNVD-2021-102407）、Oracle Transportation Management未授权访问漏洞（CNVD-2021-102408、CNVD-2021-102409）、Oracle Java SE未授权访问漏洞、Oracle HTTP Server未授权访问漏洞（CNVD-2021-102412、CNVD-2021-102413）、Oracle Hyperion Financial Reporting未授权访问漏洞。其中，“Oracle HTTP Server未授权访问漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ZZCMS SQL注入漏洞（CNVD-2021-103084）

ZZCMS是中国ZZCMS团队的一套内容管理系统（CMS）。上周，ZZCMS被披露存在SQL注入漏洞。该漏洞源于在dl/dl_download.php中注册普通用户时缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞获取受影响组件敏感信息，绕过安全特性，提升权限，执行任意代码，导致缓冲区溢出或堆溢出等。此外，Cisco、Huawei、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞向服务器发送非预期的请求，获取敏感信息，删除任意文件，在受影响的设备上升级特权，执行任意命令，导致拒绝服务等。另外，ZZCMS被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、第一财经日报、中国工商银行客户服务、交通银行微银行、浦发银行、湖北银行报道

责任编辑：韩希宇