国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞569个，互联网上出现“WordPress插件Survey & Poll SQL注入漏洞、WordPress插件WP Guppy敏感信息泄露漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

深圳银保监局连发风险提示 提升消费者“涉疫”防诈防骗意识

金融消费者在选择金融服务时，注意甄别服务主体是否取得金融业务许可，应当选择正规机构或渠道获取金融服务。金融消费者要注意个人信息保护，不要轻易将身份证件号码、账户信息、短信验证码等关键信息告诉他人。>>详细

工信部：2023年底初步建立车联网安全体系

到2025年，形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制，提升标准对细分领域的覆盖程度，加强标准服务能力，提高标准应用水平，支撑车联网产业安全健康发展。>>详细

【消保】3·15靠“浦”说——个人收款码将停用？警惕！

管好收款码，守财好办法。办理需正规，钱财不易飞。有疑要多提，警惕诈骗局。意识常保持，维权需及时。>>详细

【315消保教育宣传周】理性借贷，合理消费

负债(杠杆)是把双刃剑，运用得当可以提前满足需求、提升生活品质，过度负债则容易陷 入“拆东墙补西墙”的债务怪圈。>>详细

【防骗】妇女节科普小课堂，只给您专属宠爱

要警惕营销中掩饰风险、隐瞒息费等行为，不要仅因为“免费”“零首付”“限时” 等营销宣传套路而轻率购买了不了解、不必要的金融产品。>>详细

【安全小课堂】关心她，就陪她聊聊这些！

真的关心她，就陪她聊聊这些--怎么防范“她”可能遇到的电信网络诈骗，因为现在骗子真的太狡猾了! >>详细

【消费者权益保护】女性金融消保特辑

广大女性朋友要提高安全防范意识，树立理性恋爱、理财、消费观念，切实保护好自己的个人信息，避免落入骗子精心制造的圈套。>>详细

CFCA大力推广LEI结合数字身份的产品应用 助力金融标准化建设

CFCA可为客户代理申请LEI，并将其纳入CFCA的数字证书相关产品中，能够提供包括LEI数字身份、身份认证、数字印章和电子签名以及相关信息安全等服务。>>详细

全国政协委员肖钢：加快构建金融科技伦理治理体系 伦理道德纳入企业风控

与传统金融伦理失范行为相比，金融科技伦理失范主要表现在数据伦理与算法伦理的问题。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年2月28日-3月6日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞569个，其中高危漏洞160个、中危漏洞373个、低危漏洞36个。漏洞平均分值为5.95。上周收录的漏洞中，涉及0day漏洞298个（占52%），其中互联网上出现“WordPress插件Survey & Poll SQL注入漏洞、WordPress插件WP Guppy敏感信息泄露漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。上周，上述产品被披露存在越界读取漏洞，攻击者可利用漏洞访问敏感信息。

CNVD收录的相关漏洞包括：Adobe Illustrator越界读取漏洞（CNVD-2022-15932、CNVD-2022-15931、CNVD-2022-15934、CNVD-2022-15933、CNVD-2022-15937、CNVD-2022-15936、CNVD-2022-15935、CNVD-2022-15939）。目前，厂商已经发布了上述漏洞的修补程序。

D-Link产品安全漏洞

D-Link Di-7200G是中国友讯（D-Link）公司的一款千兆企业级路由器。上周，上述产品被披露存在命令注入漏洞，攻击者可利用漏洞执行任意命令。

CNVD收录的相关漏洞包括：D-Link DI-7200G命令注入漏洞（CNVD-2022-15181、CNVD-2022-15184、CNVD-2022-15183、CNVD-2022-15182、CNVD-2022-15186、CNVD-2022-15185、CNVD-2022-15188、CNVD-2022-15187）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的的一套以Linux为基础的开源操作系统。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括Google Android竞争条件问题漏洞（CNVD-2022-15197）、Google Android拒绝服务漏洞（CNVD-2022-15196）、Google Chrome访问控制错误漏洞（CNVD-2022-16301）、Google Chrome资源管理错误漏洞（CNVD-2022-16302、CNVD-2022-16304、CNVD-2022-16303）、Google Android输入验证错误漏洞（CNVD-2022-16337）、Google Android缓冲区溢出漏洞（CNVD-2022-16338）。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Sterling Secure Proxy是IBM公司的一款用于确保组织非保护区（DMZ）中文件安全传输的应用程序代理，通过多因素认证、SSL会话中断、入站防火墙漏洞修补、协议检查和其他控件来确保可信区域的安全性。IBM i是美国IBM公司的一套运行在IBM Power Systems和IBM PureSystems中的操作系统。IBM OPENBMC OP910是一个POWER8和POWER9模拟器。IBM Tivoli Key Lifecycle Manager（TKLM）是美国IBM公司的一套密钥生命周期管理软件。该软件为存储设备提供密钥存储、密钥维护和密钥生命周期管理等功能。IBM QRadar Network Security是美国IBM公司的一个网络安全管理器。用于提供对网络上的活动和用户的更好的可见性和控制，同时使用深度数据包检查、启发式和基于行为的分析来检测和预防高级威胁。IBM AIX（Advanced Interactive eXecutive）是IBM开发的一套UNIX操作系统，也可称为AIX。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，权限提升，导致系统拒绝服务等。

CNVD收录的相关漏洞包括：IBM Sterling Secure Proxy缓冲区溢出漏洞、IBM VIOS输入验证错误漏洞、IBM i缓冲区溢出漏洞、IBM OPENBMC OP910信息泄露漏洞、IBM Tivoli Key Lifecycle Manager信息泄露漏洞（CNVD-2022-15541）、IBM QRadar Network Security信息泄露漏洞（CNVD-2022-15539）、IBM AIX拒绝服务漏洞（CNVD-2022-17018）、IBM AIX输入验证错误漏洞（CNVD-2022-17017）。目前，厂商已经发布了上述漏洞的修补程序。

Tenda G1 and G3命令注入漏洞（CNVD-2022-16177）

Tenda G1 and G3是中国腾达（Tenda）公司的一个路由器。上周，Tenda G1 and G3被披露存在命令注入漏洞。攻击者可利用该漏洞通过usbOrdinaryUserName参数执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在越界读取漏洞，攻击者可利用漏洞访问敏感信息。此外，D-Link、Google、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，权限提升，执行任意代码，导致拒绝服务等。另外，Tenda G1 and G3被披露存在命令注入漏洞。攻击者可利用该漏洞通过usbOrdinaryUserName参数执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、证券日报、中国光大银行、浦发银行、渤海银行、杭州银行、桂林银行金融服务报道

责任编辑：韩希宇