国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞578个，互联网上出现“TOTOLink A830R命令注入漏洞、Home Owners Collection Management System SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

北京银保监局连发三则风险提示，警惕元宇宙、养老钱诈骗陷阱

北京银保监局罗列了四种校园不良网络贷款的套路，包括网络平台“零息”贷款陷阱、网络平台恶意催收、注销“校园贷”陷阱以及“元宇宙”“区块链”网络陷阱。>>详细

福建银保监局发布风险提示：关乎数字金融安全隐患

随着数字金融业务的快速发展，互联网支付、网络贷款、上网买理财、买基金等线上服务存在安全隐患值得关注。>>详细

中银协发布投保倡议书 构建和谐共赢金融消费关系

引导投资者树立正确的投资理念，提高风险防范意识，与投资者一起共同维护并形成良好的理财生态环境。>>详细

事前事中事后预警机制全面守护消费者，多方共建金融业反诈治理体系成效显著

围绕金融反诈的社会联防共治机制建设，不少银行正开展诸多探索，在事前预防端，在相关部门指引下，他们正推进“反诈知识进社区”活动推广，传播大量反诈知识与案例，提升民众的警惕意识。>>详细

保护八项合法权益，银联相伴让你更有安全感！

随着支付手段不断升级，消费模式也不断改变，中国银联怎么保护消费者的合法权益呢?快跟小安一起来看看。>>详细

《金融科技产品认证目录（第二批）》发布，金融API安全谁来守护？

中国金融认证中心（CFCA）已具备API产品检测能力，同时为提高商业银行应用程序接口检测效率，CFCA自主研发了商业银行应用程序接口安全管理检测平台。>>详细

【民生3·15】电信网络诈骗如何防范？

作为子女或者父母，除了自己注意防范电信诈骗外，应积极主动向家中老人、未成年人传递防诈骗的知识，为我们敬爱的长辈和需要呵护的下--代筑起防诈骗的知识围墙。>>详细

温州银行丨小Hi说消保·安全金融不止3.15

作为消费者,除了“日常打假”，更要持续提升自身辨别“真伪”的意识与能力，温州银行携小Hi与您共筑金融安全消费，来一起学习金融消费知识，一起实现快乐、安心的买买买！>>详细

记者体验“套娃”式导流 网贷平台客户信息安全待加强 银保监会将开展个人信息保护专项整治

在某平台注册过程中，需提供多项个人信息，且平台方在注册协议中表示，经用户授权之后，部分信息可能与第三方平台共享。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年3月7日-13日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞578个，其中高危漏洞199个、中危漏洞333个、低危漏洞46个。漏洞平均分值为5.99。上周收录的漏洞中，涉及0day漏洞303个（占52%），其中互联网上出现“TOTOLink A830R命令注入漏洞、Home Owners Collection Management System SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Huawei产品安全漏洞

Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei AIS-BW80H-00是中国华为（Huawei）公司的一款智能音箱设备。Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei PCManager是中国华为（Huawei）公司的一套电脑管理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致随机地址访问，导致内核死机，将特制数据传递给应用程序并在目标系统上执行任意命令等。

CNVD收录的相关漏洞包括：Huawei Emui和Magic UI整数溢出漏洞、Huawei AIS-BW80H-00命令注入漏洞、Huawei HarmonyOS堆溢出漏洞（CNVD-2022-17398）、Huawei HarmonyOS HAL-Ril数据业务组件越界读取漏洞、Huawei HarmonyOS数据处理错误型漏洞、Huawei HarmonyOS HwNearbyMain组件空指针解引用漏洞、Huawei HarmonyOS空指针解引用漏洞（CNVD-2022-17707）、Huawei PCManager权限提升题漏洞。其中“Huawei Emui和Magic UI整数溢出漏洞、Huawei HarmonyOS堆溢出漏洞（CNVD-2022-17398）、Huawei HarmonyOS空指针解引用漏洞（CNVD-2022-17707）、Huawei PCManager权限提升题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle Enterprise Manager Base Platform是美国甲骨文（Oracle）公司的一套本地管理平台。该平台主要用于管理Oracle产品部署。Oracle Communications是美国甲骨文（Oracle）公司的一款产品。为服务提供商和企业提供集成通信和云解决方案，以加速他们的数字化转型。Oracle MySQL Server是美国甲骨文（Oracle）公司的一款关系型数据库。Oracle MySQL Cluster是美国甲骨文（Oracle）公司开发的一个写可扩展、实时、兼容ACID的事务型数据库。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞对关键数据或所有MySQL Server可访问数据的未经授权的创建、删除或修改访问，导致MySQL Server挂起或频繁重复崩溃等。

CNVD收录的相关漏洞包括：Oracle Enterprise Session Border Controller拒绝服务漏洞、Oracle Communications Convergence授权问题漏洞、Oracle MySQL Server输入验证错误漏洞（CNVD-2022-17682、CNVD-2022-17681、CNVD-2022-17685、CNVD-2022-17684、CNVD-2022-17683）、Oracle MySQL Cluster输入验证错误漏洞（CNVD-2022-17688）。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Polarion WebClient for SVN是一个SVN客户端。SINUMERIK MC是一个用于定制机器解决方案的CNC系统。SINUMERIK ONE是一个数字原生数控系统。Siemens RuggedCom ROS是德国西门子（Siemens）公司的一套用于RuggedCom系列交换机中的操作系统。Siemens SINEC NMS是德国西门子（Siemens）公司的一个网络管理系统 (NMS)，该系统可用于全天候集中监控、管理和配置具有数万台设备的工业网络，包括与安全相关的领域。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过跨站脚本检索敏感信息，允许经过身份验证的低权限用户实现权限提升，使用root权限在设备上执行任意代码等。

CNVD收录的相关漏洞包括：Siemens Polarion ALM跨站脚本漏洞、Siemens SINUMERIK MC权限提升漏洞、Siemens RUGGEDCOM ROS堆缓冲区溢出漏洞、Siemens RUGGEDCOM ROS整数溢出漏洞、Siemens RUGGEDCOM ROS跨站脚本漏洞、Siemens SINEC NMS反序列化漏洞、Siemens SINEC NMS权限提升漏洞、Siemens SINEC NMS SQL注入漏洞（CNVD-2022-17792）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

DELL产品安全漏洞

Dell Vnx2 Oe For File是美国戴尔（Dell）公司的一个操作环境。DELL EMC Integrated System是美国戴尔（DELL）公司的一个本地混合云平台，用于提供基础架构和平台即服务。Dell Wyse Management Suite是美国戴尔（DELL）公司的一套用于管理和优化Wyse端点的、可扩展的解决方案。该产品包括Wyse端点集中管理、资产追踪和自动设备发现等功能。DELL Dell Hybrid Client是美国戴尔（DELL）公司的一个应用软件。提供一个具有混合云管理功能的客户端计算软件。Dell PowerScale OneFS是美国Dell公司的一个操作系统。提供横向扩展NAS的PowerScale OneFS操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取日志信息，发送一个特殊的请求并在目标系统上执行任意代码，提升特权并接管系统等。

CNVD收录的相关漏洞包括：Dell Vnx2 Oe For File安全特征问题漏洞、Dell EMC Integrated System权限提升漏洞、Dell VNX2 OE for File敏感信息泄露漏洞、Dell Vnx2 Oe For File操作系统命令注入漏洞、Dell Wyse Management Suite反序列化漏洞、Dell Hybrid Client访问控制错误漏洞、Dell PowerScale OneFS访问控制错误漏洞、Dell Technologies Dell PowerScale OneFS身份验证绕过漏洞。除“Dell VNX2 OE for File敏感信息泄露漏洞、Dell PowerScale OneFS访问控制错误漏洞、Dell Technologies Dell PowerScale OneFS身份验证绕过漏洞”外漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Pybbs跨站脚本漏洞

Pybbs是一个更实用的 Java 开发的社区（论坛）。上周，Pybbs被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Huawei产品被披露存在多个漏洞，攻击者可利用漏洞导致随机地址访问，导致内核死机，将特制数据传递给应用程序并在目标系统上执行任意命令等。此外，Oracle、Siemens、DELL等多款产品被披露存在多个漏洞，攻击者可利用漏洞跨站脚本检索敏感信息，允许经过身份验证的低权限用户实现权限提升，使用root权限在设备上执行任意代码等。另外，Pybbs被披露存在跨站脚本漏洞。攻击者可利用该漏洞执行客户端代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、中国证券报·中证网、证券日报、第一财经、金融界、中国银联、中国民生银行、温州银行微银行报道

责任编辑：韩希宇