国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞595个，互联网上出现“Bludit跨站脚本漏洞（CNVD-2022-02493）、Waimai Super Cms跨站脚本漏洞（CNVD-2022-02739）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

“断卡”行动升级 银行信用卡单户持卡数量或降至5张

自去年至今，已有部分银行针对“信用卡持卡量”发布过相关公告，且持卡量管控正在不断升级。>>详细

【努客儿安全课堂】租借账户躺着赚钱？这样的“好事”别信！

表面看来这些租借的账户是为他人进行资金代收款，实质上是被犯罪团伙用于赃款转移。>>详细

【消保】《个人信息保护法》，为你我筑起一道防护盾

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。>>详细

【防骗】练就“火眼金睛”掌握防骗本领

近些年，假冒APP和仿冒网站的骗局数量直线上升。如何能练就“火眼金睛”，辨别真假、不踩坑？这就为您来支招啦！>>详细

电子银行安全评估——商业银行信息安全工作必选项

面对种种外在威胁存在的严峻形势，银行业需要更加重视电子银行的安全性，结合系统特性，有针对性地开展电子银行信息安全保障工作。>>详细

【消保】警惕！有偿“征信修复”骗局，您中招了吗

凡是利用非正式官方渠道查询报告骗取个人信息和资金的，都是诈骗！>>详细

【反诈骗】诈骗电话花样多，陌生电话不轻信！

任何陌生人来电，但凡提出了添加微信、扫描二维码、提供验证码、汇款的要求，基本能判定是骗局！>>详细

【消保】如何在个人信用报告中添加“本人声明”

如果您对个人信用报告中的信贷业务信息需要进行声明，可向中国人民银行征信中心或各地征信分中心进行申请。>>详细

八步教您守住钱袋子

提升资金安全系数，已经成为我们必学的技能之一。学会以下个人金融信息风险防范小技巧，保护好自己的钱袋子！>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年1月10日-16日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞595个，其中高危漏洞189个、中危漏洞371个、低危漏洞35个。漏洞平均分值为5.92。上周收录的漏洞中，涉及0day漏洞368个（占62%），其中互联网上出现“Bludit跨站脚本漏洞（CNVD-2022-02493）、Waimai Super Cms跨站脚本漏洞（CNVD-2022-02739）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Oracle产品安全漏洞

Oracle E-Business Suite是在原来Application（ERP）基础上的扩展，包括ERP（企业资源计划管理）、HR（人力资源管理）、CRM（客户关系管理）等等多种管理软件的集合，是无缝集成的一个管理套件。Oracle Applications Framework是Oracle公司开发的专有框架，用于Oracle E-Business Suite（Oracle电子商务套件）中的应用程序开发。Oracle Universal Work Queue是其中的一个灵活的工作演示和访问工具，可提供工作的集中视图和访问。Oracle Sales Offline是其中的一款离线销售管理软件。Oracle Incentive Compensation是其中的一个全球化的浮动薪酬管理软件，可自动设计、管理和分析针对员工和合作伙伴的基于激励机制的报酬计划，从而有效促进企业目标的实现。Oracle Trade Management是其中的一个支持迭代销售模型的销售应用程序。Oracle Applications Manager (OAM)可让管理员从HTML控制台管理Oracle E-Business Suite系统。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞对Oracle Trade Management可访问数据的子集进行未经授权的读取访问，对某些Oracle Applications Manager可访问数据的未经授权的更新、插入或删除访问，导致Oracle应用程序框架的部分拒绝服务（部分 DOS）等。

CNVD收录的相关漏洞包括：Oracle E-Business Suite拒绝服务漏洞（CNVD-2022-02347、CNVD-2022-02348）、Oracle E-Business Suite未授权访问漏洞（CNVD-2022-02349、CNVD-2022-02351、CNVD-2022-02350、CNVD-2022-02353、CNVD-2022-02352、CNVD-2022-02357）。其中，“Oracle E-Business Suite未授权访问漏洞（CNVD-2022-02349、CNVD-2022-02357）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Dimension是美国Adobe公司的是一套2D和3D合成设计工具。Adobe Prelude是美国奥多比（Adobe）公司的一套视频素材编辑剪辑工具。该产品能够对视频素材进行剪辑、排序和注释等。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码，导致敏感内存泄露。

CNVD收录的相关漏洞包括：Adobe Dimension内存损坏漏洞、Adobe Dimension越界读取漏洞（CNVD-2022-02631、CNVD-2022-02635、CNVD-2022-02636）、Adobe Dimension越界写入漏洞（CNVD-2022-02634、CNVD-2022-02633）、Adobe Prelude内存损坏漏洞（CNVD-2022-02637、CNVD-2022-02638）。其中，“Adobe Dimension内存损坏漏洞、Adobe Dimension越界写入漏洞（CNVD-2022-02634、CNVD-2022-02633）、Adobe Prelude内存损坏漏洞（CNVD-2022-02637、CNVD-2022-02638）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Kylin是美国阿帕奇（Apache）基金会的一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。Apache Avro是美国阿帕奇（Apache）基金会的一个数据序列化系统。为 Apache Hadoop 提供数据序列化和数据交换服务。Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache NiFi是美国阿帕奇（Apache）基金会的一套数据处理和分发系统。该系统主要用于数据路由、转换和系统中介逻辑。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞探测服务器内网资源，分配过多资源导致拒绝服务，在Kylin服务器进程中执行来自黑客控制的恶意MySQL服务器的任意代码。

CNVD收录的相关漏洞包括：Apache Kylin输入验证错误漏洞、Apache Kylin操作系统命令注入漏洞、Apache Kylin服务端请求伪造漏洞、Apache Kylin权限许可和访问控制问题漏洞、Apache Avro资源管理错误漏洞、Apache HTTP Server目录遍历漏洞、Apache NiFi操作系统命令注入漏洞、Apache HTTP Server ap_escape_quotes缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Trendnet产品安全漏洞

Trendnet AC2600 TEW-827DRU是一款无线路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞强制更改管理员密码，通过Bittorent web客户端访问和修改设置和文件，提供格式错误的参数以root用户身份注入命令等。

CNVD收录的相关漏洞包括：Trendnet AC2600 TEW-827DRU身份验证绕过漏洞、Trendnet AC2600 TEW-827DRU访问控制错误漏洞、Trendnet AC2600 TEW-827DRU数据伪造问题漏洞、Trendnet AC2600 TEW-827DRU命令注入漏洞（CNVD-2022-03198、CNVD-2022-03200）、Trendnet AC2600 TEW-827DRU信任管理问题漏洞、Trendnet AC2600 TEW-827DRU拒绝服务漏洞、Trendnet AC2600 TEW-827DRU加密问题漏洞。除“Trendnet AC2600 TEW-827DRU访问控制错误漏洞、Trendnet AC2600 TEW-827DRU数据伪造问题漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google Chrome越界写入漏洞（CNVD-2022-02736）

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，Google Chrome被披露存在越界写入漏洞。攻击者可利用该漏洞在系统上执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Oracle产品被披露存在多个漏洞，攻击者可利用该漏洞对Oracle Trade Management可访问数据的子集进行未经授权的读取访问，对某些Oracle Applications Manager可访问数据的未经授权的更新、插入或删除访问，导致Oracle应用程序框架的部分拒绝服务（部分 DOS）等。此外，Adobe、Apache、Trendnet等多款产品被披露存在多个漏洞，攻击者可利用该漏洞在当前用户的上下文中执行任意代码，导致敏感内存泄露，执行任意代码，探测服务器内网资源，分配过多资源导致拒绝服务等。另外，Google Chrome被披露存在越界写入漏洞。攻击者可利用该漏洞在系统上执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、证券日报、网联清算有限公司、中国光大银行、浦发银行、邢台银行、四川农信报道

责任编辑：韩希宇