国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞721个，互联网上出现“pimcore跨站脚本漏洞（CNVD-2022-07500）、Blackmagic Design DaVinci Resolve代码执行漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

存取现金超5万要登记？央行回应：不影响业务便利度，意在反洗钱监管

金融机构依法适当加强对现金存取款活动的管理，有利于防范违法犯罪活动，有利于保护最广大人民群众的根本利益。>>详细

科普|用卡知识小讲堂：如何安全用卡？

办卡申请递交后要及时跟进办卡进度，对银行寄出的卡片进行地址核对。收到卡片后，记得检查信封是否完好，若有拆封痕迹立即与发卡银行联系。>>详细

关于警惕网络平台诱导过度借贷的风险提示

要树立理性消费观，合理使用借贷产品，选择正规机构、正规渠道获取金融服务，警惕过度借贷营销背后隐藏的风险或陷阱。>>详细

有温度的消保 | 抢红包竟要填写个人信息？年兽新年惨被骗！

遇到商家推出的红包活动一定要仔细核实。真的红包拆开后，钱会自动进入到我们的零钱账户里，如需跳转到其他网站，或要求先关注、分享才能领取的，都要小心。>>详细

消费者权益保护 | 警惕涉疫骗局 别让“绿码”变成“伤心码”

流调过程中，公民的个人信息和隐私是受法律保护的，所获得的所有信息都严格保密。>>详细

违规使用银行账户的后果，您知道吗？

赚钱不容易，投资需谨慎；诈骗套路多，小心不上当；合规用账户，声誉最重要；告诉自己“我不眼馋，我不赚快钱！” >>详细

津宣传 | 阖家团圆话家常，电信诈骗必须防！

任何人、任何机构与任何组织都无权知道我们的密码，请拒绝任何企图索取数字人民币APP登录和交易密码的要求，不偏信轻信，提高风险防范意识。>>详细

【消保黔行】提防投资诈骗，业务办理请走正规渠道

老年人的财产安全至关重要，防范网络电信诈骗是必要的，面对生活中常发的网络电信诈骗，老年人需要提高网络电信安全意识，做到不听、不信、不转账，让不法分子无缝可钻，保护老年人自身财产安全。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年1月24日-2月6日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞721个，其中高危漏洞190个、中危漏洞450个、低危漏洞81个。漏洞平均分值为5.59。上周收录的漏洞中，涉及0day漏洞307个（占43%），其中互联网上出现“pimcore跨站脚本漏洞（CNVD-2022-07500）、Blackmagic Design DaVinci Resolve代码执行漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞导致缓冲区溢出，整数溢出，提升权限等。

CNVD收录的相关漏洞包括：Google Android缓冲区溢出漏洞（CNVD-2022-06153）、Google Android输入验证错误漏洞（CNVD-2022-06152）、Google Android越界写入漏洞（CNVD-2022-06154、CNVD-2022-06897）、Google Android权限提升漏洞（CNVD-2022-06157、CNVD-2022-06156、CNVD-2022-06158）、Google Android逻辑缺陷漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Security Manager（CSM）是美国思科（Cisco）公司的一套企业级的管理应用，它主要用于在Cisco网络和安全设备上配置防火墙。VPN和入侵保护安全服务。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞对该界面的用户进行跨站点脚本攻击，导致代码执行，信息泄漏等。

CNVD收录的相关漏洞包括：Cisco Security Manager跨站脚本漏洞（CNVD-2022-06378、CNVD-2022-06377、CNVD-2022-06380、CNVD-2022-06379、CNVD-2022-06383、CNVD-2022-06382、CNVD-2022-06381、CNVD-2022-06386）。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR产品安全漏洞

NETGEAR D7000是美国网件（Netgear）公司的一款无线调制解调器。NETGEAR xr1000是美国网件（Netgear）公司的一款路由器。NETGEAR R6700v2是美国网件（Netgear）公司的一款无线路由器。NETGEAR R8000是美国网件（Netgear）公司的一款无线路由器。NETGEAR R6260是美国网件（Netgear）公司的一款路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞绕过访问控制，造成拒绝服务攻击，在root上下文中执行代码等。

CNVD收录的相关漏洞包括：Netgear NETGEAR D7000授权问题漏洞（CNVD-2022-06684、CNVD-2022-06687）、NETGEAR D7000和NETGEAR授权问题漏洞、NETGEAR XR1000信任管理问题漏洞、NETGEAR R6700v2权限许可和访问控制问题漏洞、NETGEAR R8000缓冲区溢出漏洞（CNVD-2022-06691）、NETGEAR R6260堆栈的缓冲区溢出漏洞、NETGEAR R6260 mini_httpd SOAP缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL Cluster是美国甲骨文（Oracle）公司开发的一个写可扩展、实时。兼容ACID的事务型数据库。上周，上述产品被披露存在多个漏洞，攻击者可利用该漏洞破坏或删除数据，执行任意代码等。

CNVD收录的相关漏洞包括：Oracle MySQL Cluster输入验证错误漏洞（CNVD-2022-07913、CNVD-2022-07912、CNVD-2022-07915、CNVD-2022-07914、CNVD-2022-07919、CNVD-2022-07923、CNVD-2022-07926、CNVD-2022-07925）。目前，厂商已经发布了上述漏洞的修补程序。

Moddable SDK拒绝服务漏洞

Moddable SDK是美国Moddable公司的一套用于物联网嵌入式软件开发的软件开发工具包（SDK）。上周，Moddable SDK被披露存在拒绝服务漏洞。攻击者可利用该漏洞导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用该漏洞导致缓冲区溢出，整数溢出，提升权限等。此外，Cisco、NETGEAR、Oracle等多款产品被披露存在多个漏洞，攻击者可利用该漏洞破坏或删除数据，导致代码执行，信息泄漏等。另外，Moddable SDK被披露存在拒绝服务漏洞。攻击者可利用该漏洞导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案 。

中国电子银行网综合CNVD、中国银保监会、21世纪经济报道、中信银行、渤海银行、天津银行、贵州银行、宁夏银行、广东农信报道

责任编辑：韩希宇