国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞576个，互联网上出现“Snipe-IT跨站脚本漏洞（CNVD-2022-19845）、PeteReport跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

20年安全支付有温度 银联智能风控守护百姓“钱袋子”

近年来，顺应风险形势新变化和产业数字化转型趋势，银联致力于建设一体化智能风控系统，迭代升级欺诈交易防控、涉赌交易分析、计量评分、反洗钱侦测、营销风险管控、境外风险管理等风险子系统。>>详细

工行筑牢大数据智能反诈“防护墙”

工商银行自主研发的“融安e信”大数据风控智能服务平台，通过与公安机关开展风险信息共享合作，建立了专门的涉诈黑名单库，并与银行业务系统自动对接，支持业务风险前置预警拦截，有效防范外部欺诈风险。>>详细

金融科技助力反欺诈 建设银行守护群众钱袋子安全

构筑全面、主动、智能的网络金融风险防控体系，是维护客户资金安全、营造良好金融生态的重要保障。>>详细

津宣传 | 账户安全篇——优化服务 安全支付

请勿出租、出借、买卖手机卡、银行卡(账户)、身份证件，警惕他人使用您的实名手机卡、银行卡(账户)、身份证件，一旦为他人利用，可能用于实施电信诈骗或网络赌博等犯罪行为。经公安机关认定，将依法追究刑事责任。>>详细

【防骗】这份防诈骗手册，千万别错过

不要轻易相信非官方渠道发布的短信内容。不要点击来路不明的链接。不要相信非官方号码的客服人员。>>详细

书同文，车同轨，证同印！CFCA电子印章助力电子证照互通互认

实现电子证照、印章互通互认的要点，在于政务应用中电子印章、CA证书标准规范的统一、互通互认机制的建立。>>详细

网络钓鱼识别与防范！

企业通过技术手段在一定程度上能保护员工免受大型钓鱼攻击的威胁，但并不是解决问题的根本，更关键的是员工安全意识加强和培养。>>详细

提示 | “征信修复”不可信，发生逾期莫恐慌！

一些不法分子打着“征信修复”“征信洗白”的旗号，教唆信息主体委托其办理征信投诉、举报等事项，以此牟取不正当利益，扰乱正常金融秩序。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年3月14日-20日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞576个，其中高危漏洞172个、中危漏洞340个、低危漏洞64个。漏洞平均分值为5.81。上周收录的漏洞中，涉及0day漏洞289个（占50%），其中互联网上出现“Snipe-IT跨站脚本漏洞（CNVD-2022-19845）、PeteReport跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

TP-Link产品安全漏洞

TP-Link TL-WR886N是中国普联（TP-Link）公司的一款路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞使应用程序崩溃，在系统上执行任意代码。

CNVD收录的相关漏洞包括：TP-Link TL-WR886N缓冲区溢出漏洞（CNVD-2022-20072、CNVD-2022-20075、CNVD-2022-20074、CNVD-2022-20073、CNVD-2022-20077、CNVD-2022-20076）、TP-Link TL-WR886N栈溢出漏洞（CNVD-2022-20081、CNVD-2022-20080）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Fortinet产品安全漏洞

Fortinet FortiMail是美国飞塔（Fortinet）公司的一套电子邮件安全网关产品。该产品提供电子邮件安全防护和数据保护等功能。Fortinet FortiWeb是美国飞塔（Fortinet）公司的一款Web应用层防火墙，它能够阻断如跨站点脚本、SQL注入、Cookie中毒、schema中毒等攻击的威胁，保证Web应用程序的安全性并保护敏感的数据库内容。Fortinet FortiExtender是美国飞塔（Fortinet）公司的一款无线WAN（广域网）扩展器设备。Fortinet FortiClientEms是美国Fortinet公司的一个集中式中央管理系統。Fortinet FortiNAC是美国飞塔（Fortinet）公司的一套网络访问控制解决方案。该产品主要用于网络访问控制和物联网安全防护。Fortinet FortiProxy SSL VPN是美国Fortinet公司的一个应用软件。提供了一个入侵检测功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞对其进行解密并显示或更改其内容，在设备文件系统中执行任意文件和目录删除，通过特制的命令执行任意代码等。

CNVD收录的相关漏洞包括：Fortinet FortiMail跨站脚本漏洞（CNVD-2022-19073）、Fortinet FortiWeb路径遍历漏洞（CNVD-2022-19072）、Fortinet FortiExtender命令注入漏洞、Fortinet FortiClientEms代码问题漏洞、Fortinet FortiNAC权限提升漏洞、Fortinet FortiProxy SSL VPN跨站请求伪造漏洞、Fortinet FortiWeb缓冲区溢出漏洞（CNVD-2022-19074）、Fortinet FortiMail加密问题漏洞。其中，“Fortinet FortiWeb路径遍历漏洞（CNVD-2022-19072）、Fortinet FortiExtender命令注入漏洞、Fortinet FortiClientEms代码问题漏洞、Fortinet FortiNAC权限提升漏洞” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei Emui是一款基于Android开发的移动端操作系统。Magic Ui是一款基于Android开发的移动端操作系统。Huawei eCNS280_TD是中国华为（Huawei）公司的无线宽带集群系统的核心网设备。Huawei ESE620X vESS是中国华为（Huawei）公司的一个虚拟企业服务控制器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过目标系统上的授权过程，导致拒绝服务等。

CNVD收录的相关漏洞包括：Huawei Emui和Magic UI缓冲区溢出漏洞（CNVD-2022-20296）、Huawei Emui和Magic UI堆缓冲区溢出漏洞、Huawei Emui和Magic UI拒绝服务漏洞（CNVD-2022-20298）、Huawei Emui和Magic UI类型混淆漏洞、Huawei Emui和Magic UI IFAA模块越界读取漏洞、Huawei Emui和Magic UI camera组件空指针解引用漏洞、Huawei eCNS280_TD和ESE620X vESS授权问题漏洞、Huawei eCNS280_TD和ESE620X vESS越界读取漏洞。其中，“Huawei Emui和Magic UI缓冲区溢出漏洞（CNVD-2022-20296）、Huawei Emui和Magic UI堆缓冲区溢出漏洞、Huawei Emui和Magic UI拒绝服务漏洞（CNVD-2022-20298）、Huawei Emui和Magic UI IFAA模块越界读取漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android Automotive Os是美国谷歌（Google）公司的一种直接在车载硬件上运行的操作系统和平台。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，在系统上执行任意代码或造成拒绝服务情况等。

CNVD收录的相关漏洞包括：Google Android Automotive Os信息泄露漏洞、Google Chrome安全特征问题漏洞（CNVD-2022-20550）、Google Chrome GPU代码执行漏洞（CNVD-2022-20554）、Google Chrome Mojo整数溢出漏洞、Google Chrome Animation代码执行漏洞、Google Chrome安全特征问题漏洞（CNVD-2022-20551）、Google Chrome Tab Groups缓冲区溢出漏洞、Google Chrome Webstore API代码执行漏洞。其中，除“Google Android Automotive Os信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda AX12缓冲区溢出漏洞

Tenda AX12是中国腾达（Tenda）公司的一款双频千兆Wifi 6无线路由器。上周，Tenda AX12被披露存在缓冲区溢出漏洞。该漏洞源于函数sub_422CE4中包含堆栈缓冲区溢出。攻击者可利用该漏洞通过strcpy参数引发拒绝服务 (DoS)。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，TP-Link产品被披露存在多个漏洞，攻击者可利用漏洞使应用程序崩溃，在系统上执行任意代码。此外，Fortinet、Huawei、Google等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，绕过安全限制，在系统上执行任意代码，导致拒绝服务等。另外，Tenda AX12被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞通过strcpy参数引发拒绝服务 (DoS)。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、金融时报-中国金融新闻网、中国银联、中国建设银行、交通银行普惠金融、天津银行、南京银行、广西北部湾银行微生活报道

责任编辑：韩希宇