国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞429个，互联网上出现“jonfinley Monitorr授权绕过漏洞、Npm ps-kill命令注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

算法管理规定今施行 从三方面遏制“杀熟”

据《中国大安全感知报告（2021）》显示，公众最担心对于个人信息的保护，有七成公众感到算法能获取自己的喜好、兴趣，进而进行精准“算计”；有五成公众担心下载的App不安全。>>详细

最高法修改司法解释 审理非法集资刑事案件中增加投资“养老项目”等非法集资行为方式

《解释》从之前共9条增至共15条，对非法吸收公众存款罪的特征要件以及非法吸收资金的行为方式做了修改，增加网络借贷、虚拟币交易、融资租赁等新型非法吸收资金的行为方式。>>详细

【注意了】您的个人信息安全吗？

对于陌生来电和陌生短信，切勿随意点击链接和提供自己的个人信息情况，特别是账号、密码以及验证码。>>详细

【金融安全】提高防范意识，远离电信诈骗

诈骗手法千变万化，应对措施殊途同归。要牢记“三不一多”原则：未知链接不点击、陌生来电不轻信、个人信息不透露、转账汇款多核实。>>详细

【消保小讲堂】开学季，你应该知道的诈骗套路

在校期间，大家一定要提高警惕，谨防诈骗，切记：不轻信、不透露、不汇款、不刷单。>>详细

守住权益“防线”，和小郑一起get征信法规知识点（下）

当征信进入大数据时代，我们更需要完善的相关法规制度“保驾护航”，信用既是资本、财富，更是美好生活的通行证，完善的信用体系，能让守信者畅行无阻，失信者寸步难行。>>详细

【理财小讲堂】教您如何分辨正规金融机构和理财产品

投资者在购买理财产品前一定要先了解清楚这家产品的发行机构是否受监管机构监管，从源头上避免“踩雷”。>>详细

信用卡|这些用卡知识，你都知道吗？

提醒您检查卡片背面的磁条可能被消磁或者卡片已经损坏，请您登录手机银行或广东农信公众号申请换卡。>>详细

爱护人民币和反假货币知识小课堂

当您去银行办理存款、缴费等业务时，如果工作人员鉴定出假币，将履行职责予以收缴。同时您也有申诉的权利，倘若确实是真币，您完全可以通过法律程序追回。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年2月21日-27日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞429个，其中高危漏洞152个、中危漏洞243个、低危漏洞34个。漏洞平均分值为6.09。上周收录的漏洞中，涉及0day漏洞209个（占49%），其中互联网上出现“jonfinley Monitorr授权绕过漏洞、Npm ps-kill命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在资源管理错误漏洞，攻击者可利用漏洞通过精心设计的HTML页面利用堆损坏，在目标系统上执行任意代码等。

CNVD收录的相关漏洞包括：Google Chrome资源管理错误漏洞（CNVD-2022-14876、CNVD-2022-15136、CNVD-2022-15137、CNVD-2022-15140、CNVD-2022-15142、CNVD-2022-15157、CNVD-2022-15160、CNVD-2022-15159）。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Apisix是美国阿帕奇（Apache）基金会的一个云原生的微服务API网关服务。Apache HTTP Server是一款开源网页服务器。Apache ActiveMQ是一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。Apache Cayenne是一个根据 Apache 许可证许可的开源持久性框架。Apache Pulsar是一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台。Apache Cassandra是一个分布式Nosql数据库。Xerces是一个由Apache组织所推动的一项XML文档解析开源项目。Apache Kafka是一套开源分布式流媒体平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取访问凭据并提升系统权限，执行拒绝服务(DoS)攻击，在主机上执行任意代码等。

CNVD收录的相关漏洞包括：Apache Apisix远程代码执行漏洞、Apache HTTP Server代码问题漏洞（CNVD-2022-13199）、Apache ActiveMQ资源管理错误漏洞（CNVD-2022-14699）、Apache Cayenne输入验证错误漏洞、Apache Pulsar输入验证错误漏洞、Apache Cassandra代码注入漏洞、Apache Xerces拒绝服务漏洞、Apache Kafka定时攻击漏洞。其中“Apache Apisix远程代码执行漏洞、Apache Cassandra代码注入漏洞、Apache Xerces拒绝服务漏洞、Apache Kafka定时攻击漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Cluster是其中的一个适用于分布式计算环境的高实用、高冗余的版本。上周，上述产品被披露存在输入验证错误漏洞，攻击者可利用漏洞读取内存内容或使应用程序崩溃，执行任意代码等。

CNVD收录的相关漏洞包括：Oracle MySQL Cluster输入验证错误漏洞（CNVD-2022-13051、CNVD-2022-13054、CNVD-2022-13052、CNVD-2022-13056、CNVD-2022-13055、CNVD-2022-13058、CNVD-2022-13062、CNVD-2022-13061）。目前，厂商已经发布了上述漏洞的修补程序。

Schneider Electric产品安全漏洞

Schneider Electric Interactive Graphical SCADA System（IGSS）是法国施耐德电气（Schneider Electric）公司的一套用于监控和控制工业过程的SCADA（数据采集与监控系统）系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞删除任意文件，导致远程代码执行等。

CNVD收录的相关漏洞包括：Schneider Electric Interactive Graphical SCADA System访问控制错误漏洞（CNVD-2022-13067、CNVD-2022-13073）、Schneider Electric Interactive Graphical Scada System整数溢出漏洞、Schneider Electric Interactive Graphical SCADA System缓冲区溢出漏洞（CNVD-2022-13069、CNVD-2022-13075）、Schneider Electric Interactive Graphical SCADA System路径遍历漏洞（CNVD-2022-13068）、Schneider Electric Interactive Graphical Scada System越界读取漏洞（CNVD-2022-13070、CNVD-2022-13071）。其中“Schneider Electric Interactive Graphical Scada System整数溢出漏洞、Schneider Electric Interactive Graphical SCADA System缓冲区溢出漏洞（CNVD-2022-13069、CNVD-2022-13075）、Schneider Electric Interactive Graphical SCADA System路径遍历漏洞（CNVD-2022-13068）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda Ax3缓冲区溢出漏洞（CNVD-2022-13931）

Tenda Ax3是中国腾达（Tenda）公司的一款Ax1800千兆端口双频 Wifi 6无线路由器。上周，Tenda AX3被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞通过rebootTime参数造成拒绝服务 (DoS)。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞通过精心设计的HTML页面利用堆损坏，在目标系统上执行任意代码等。此外，Apache、Oracle、Schneider Electric等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取访问凭据并提升系统权限，删除任意文件，执行拒绝服务(DoS)攻击，在主机上执行任意代码等。另外，Tenda AX3被披露存在缓冲区溢出漏洞。攻击者可利用漏洞通过列表参数造成拒绝服务 (DoS)。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案 。

中国电子银行网综合CNVD、证券日报、每日经济新闻、郑州银行、抚顺银行、桂林银行金融服务、北京农商银行e服务、广东农信、微众银行报道

责任编辑：韩希宇