国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞537个，互联网上出现“Pimcore跨站脚本漏洞（CNVD-2022-22702）、CuppaCMS SQL注入漏洞（CNVD-2022-22322）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

《中国银联金融信息技术应用创新产品能力评估指引》发布 CFCA护航生态伙伴创新应用能力建设

《指引》对金融信息技术应用创新产品在事前产品选型把关、强化关键技术提供方资质能力审核、前瞻性、可扩展性、稳定性等方面给予技术应用适配测试和安全评估指导，确保技术路径与需求高度匹配。>>详细

金融科技赋能服务新市民：多维度重新勾勒信用特征，“因人制宜”强化金融反欺诈

除了因人制宜做好金融反欺诈知识普及推广，银行还需充分考虑到广大新市民“碎片化”、偏向休闲娱乐性质的阅读特点，通过AI漫画等其他形式提醒老年新市民“不乱头”，年轻新市民“不乱贷”。>>详细

【防骗】识破非法集资陷阱，硬核抵制高利诱惑

非法集资防范技巧：看主体资质，除了看是否取得企业营业执照，还要看是否取得相应金融牌照或经金融管理部门批准。>>详细

数字金融纠纷能在线一站解决吗？重庆银行、CFCA说可以！

重庆银行引入中国金融认证中心（CFCA）“基于电子认证技术的线上类案快速纠纷解决创新方案”，该方案创新构建金融机构、司法审判/公证机构多方联动模式，高效打通数字金融纠纷在线解决链条。>>详细

【提醒】诱骗老年人转账需警惕！

安享晚年不容易!防范意识必牢记!陌生汇款莫轻信!保护资金安全!谨防电信诈骗! >>详细

这些电信诈骗“关键特征”您要牢记！

如果您真的遭遇电信(网络)诈骗，除了及时办理挂失账户、修改密码等方式止损外，建议您立即报警，同时保存被骗过程的转账截图、通话记录、聊天记录等信息，将骗子的银行账号、账户姓名提供给警方，最大限度争取时间由公安机关紧急止付。>>详细

夯实新金融生态根基，浦发银行通过CFCA联邦学习产品测评

2022年3月，浦发银行“波塞冬联邦学习产品”通过了中国金融认证中心（CFCA）联邦学习技术应用产品测评并获得了产品测评报告。>>详细

【消保】防止信息泄露，切勿掉以轻心

消费者应注意不点击不明来源网络链接，不在不明网站、APP上填写个人身份信息，自己收到的各类验证码，不要告诉任何人，也不要在金融机构官方网站或APP外的平台输入金融机构发来的验证码。不要轻信不法分子的言论，例如共享屏幕等。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年3月21日-27日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞537个，其中高危漏洞180个、中危漏洞272个、低危漏洞85个。漏洞平均分值为5.84。上周收录的漏洞中，涉及0day漏洞299个（占56%），其中互联网上出现“Pimcore跨站脚本漏洞（CNVD-2022-22702）、CuppaCMS SQL注入漏洞（CNVD-2022-22322）”等零日代码攻击漏洞。

上周重要漏洞安全告警

TP-Link产品安全漏洞

TP-Link TL-WR886N是中国普联公司的一款无线路由器。Tp-link TL-WR841N是一款无线路由器。TP-Link TL-WR940N是一款无线路由器。Tp-link AC1750是一款无线路由器。TP-Link Archer C1200是一款无线双频Gigabit路由器。TP-Link UE330 USB是端口USB 3.0集线器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过望远镜和光电传感器从设备上的LED恢复语音信号，进行“萤火虫”攻击，使应用程序崩溃，在root上下文中执行代码等。

CNVD收录的相关漏洞包括：TP-Link TL-WR886N栈溢出漏洞（CNVD-2022-21168）、CNVD-2022-21167）、Tp-link TL-WR841N信任管理问题漏洞、TP-Link TL-WR940N缓冲区溢出漏洞、TP-Link AC1750输入验证错误漏洞、TP-Link Archer C1200跨站脚本漏洞（CNVD-2022-21173）、TP-Link UE330 USB信息泄露漏洞、TP-Link Archer A7 AC1750命令注入漏洞。其中，除“TP-Link Archer C1200跨站脚本漏洞（CNVD-2022-21173）、TP-Link UE330 USB信息泄露漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。Adobe After Effects是一套视觉效果和动态图形制作软件。Adobe Illustrator是一套基于向量的图像制作软件。Adobe Commerce在单一平台上为B2B和B2C客户构建多渠道商务体验。Adobe Acrobat Reader Dc是一个Pdf阅读工具。用于可靠查看、打印和注释Pdf文档。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致当前用户上下文中的内存泄漏，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Photoshop越界读取漏洞（CNVD-2022-22097）、Adobe After Effects缓冲区溢出漏洞（CNVD-2022-22096、CNVD-2022-22095、CNVD-2022-22099）、Adobe After Effects越界写入漏洞（CNVD-2022-22094）、Adobe Illustrator缓冲区溢出漏洞（CNVD-2022-22098）、Adobe Commerce输入验证错误漏洞（CNVD-2022-22100）、Adobe Acrobat Reader Dc缓冲区溢出漏洞（CNVD-2022-22658）。其中，除“Adobe Photoshop越界读取漏洞（CNVD-2022-22097）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升本地权限，造成应用拒绝服务，本地权限提升等。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-22949、CNVD-2022-22950、CNVD-2022-22953、CNVD-2022-22952、CNVD-2022-22956、CNVD-2022-22955）、Google Android信息泄露漏洞、Google Android拒绝服务漏洞。其中，“Google Android权限提升漏洞（CNVD-2022-22949、CNVD-2022-22953、CNVD-2022-22956）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit PDF Reader是中国福昕（Foxit）公司的一款PDF阅读器。上周，上述产品被披露存在资源管理错误漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：Foxit PDF Reader资源管理错误漏洞（CNVD-2022-22730、CNVD-2022-22729、CNVD-2022-22731、CNVD-2022-22734、CNVD-2022-22736、CNVD-2022-22735、CNVD-2022-22738、CNVD-2022-22740）。目前，厂商已经发布了上述漏洞的修补程序。

TOTOLINK A3100R命令注入漏洞（CNVD-2022-21549）

Totolink A3100R是中国Totolink公司的一系列无线路由器。上周，TOTOLINK A3100R被披露存在命令注入漏洞。攻击者可利用该漏洞发送特殊的命令数据实现命令注入。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，TP-Link产品被披露存在多个漏洞，攻击者可利用漏洞通过望远镜和光电传感器从设备上的LED恢复语音信号，进行“萤火虫”攻击，使应用程序崩溃，在root上下文中执行代码等。此外，Adobe、Google、Foxit等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升本地权限，造成应用拒绝服务，在当前用户的上下文中执行任意代码。另外，TOTOLINK A3100R被披露存在命令注入漏洞。攻击者可利用该漏洞发送特殊的命令数据实现命令注入。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、中国工商银行、中国光大银行、杭州银行微讯报道

责任编辑：韩希宇