国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞160个，互联网上出现“Apache James Server远程命令执行漏洞、WordPress插件Wappointment跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

全国打击治理电信网络新型违法犯罪工作电视电话会议召开

会议要求，要加强预警预防，全方位织密织牢技术反诈防护网络。>>详细

反诈无间道 | 对不起，我的真实身份是....

如遇到自称公检法机构人员要求转账，切勿轻信!公检法机关不会通过电话网上办案，更没有所谓的“安全账户”。>>详细

这个行业责任重大！如何保障数字安全？CFCA全力赋能医疗信息化建设

鉴于医疗行业数字安全的重要性，我国已于最近数年内陆续出台多部法规条例，规范医疗行业数字安全管控。>>详细

筑牢远程反诈“防护网” 农业银行当好人民财产“守护员”

农业银行依托“智能＋人工”远程服务模式，为客户提供7×24小时远程金融一站式防诈服务。>>详细

【防诈骗】贷款骗局花样多，识破套路不上当！

非法中介往往通过非法手段骗取用户信息，利用低息大额、免费办理、征信修复、材料美化等惯用招揽方式，设置贷款骗局，施以小恩小惠取得信任，同时索取更多的费用或占用贷款金额。>>详细

共话电子签约新趋势 CFCA受邀出席2022金蝶中国生态行·广州首站

在互联网时代，数字化手段可以有效帮助企业节省时间与经济成本，从而提升企业运营效率，助力企业高质量发展。其中，起用电子签约是企业运营数字化转型的重要方面。>>详细

【小河讲反洗钱】想挣个盒饭钱 怎么就“洗钱”啦！

买卖、租借电话卡、银行卡均属于违法行为，切勿将自己办理的手机卡、个人银行卡、对公账户及结算卡以及微信、支付宝等第三方支付平台账户买卖、租赁给犯罪分子，否则将面临信用惩戒、限制业务、严管账户、法律处分四大惩戒。>>详细

【消保小剧场】本想放下手里的砖头，走上暴富巅峰…

投资理财需认清正规持牌机构，综合权衡个人或家庭的财务状况、风险承受能力和预期收入、流动性需求等，选择适当的金融产品和服 务，远离非法金融活动！ >>详细

“你的医保已停用？”新型骗术！抓紧转发更多人，千万别被骗！

收到这类诈骗信息，千万不要点击链接！千万别信！银行不会以社保卡到期为由要求客户强制更换三代社保卡。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年4月4日-10日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞160个，其中高危漏洞65个、中危漏洞78个、低危漏洞17个。漏洞平均分值为6.17。上周收录的漏洞中，涉及0day漏洞97个（占61%），其中互联网上出现“Apache James Server远程命令执行漏洞、WordPress插件Wappointment跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在权限提升漏洞，攻击者可利用漏洞升级权限。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-26764、CNVD-2022-26762、CNVD-2022-26761、CNVD-2022-26766、CNVD-2022-26765、CNVD-2022-26773、CNVD-2022-26771、CNVD-2022-26782）。其中，“Google Android权限提升漏洞（CNVD-2022-26766）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

F5产品安全漏洞

F5 BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台。F5 BIG-IQ是美国F5公司的一套基于软件的云管理解决方案。该方案支持跨公共和私有云、传统数据中心和混合环境部署应用交付和网络服务。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，执行未经授权的操作，导致拒绝服务等。

CNVD收录的相关漏洞包括：F5 BIG-IP跨站脚本漏洞（CNVD-2022-26776、CNVD-2022-26778）、F5 BIG-IP输入验证错误漏洞（CNVD-2022-26839、CNVD-2022-26779）、F5 BIG-IP命令注入漏洞（CNVD-2022-26777）、F5 BIG-IQ访问控制错误漏洞（CNVD-2022-26842）、F5 BIG-IP APM输入验证错误漏洞（CNVD-2022-26841）、F5 BIG-IP授权问题漏洞（CNVD-2022-26845）。其中，“F5 BIG-IQ访问控制错误漏洞（CNVD-2022-26842）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda产品安全漏洞

Tenda AC9是中国腾达（Tenda）公司的一款无线路由器。上周，上述产品被披露存在命令注入和缓冲区溢出漏洞，攻击者可利用漏洞导致任意命令执行。

CNVD收录的相关漏洞包括：Tenda AC9命令注入漏洞（CNVD-2022-26241、CNVD-2022-26245）、Tenda AC9缓冲区溢出漏洞（CNVD-2022-26244、CNVD-2022-26243、CNVD-2022-26242、CNVD-2022-26246、CNVD-2022-26247）、Tenda AC6缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Delta Electronics产品安全漏洞

Delta Electronics DIAEnergie是一个工业能源管理系统，用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。上周，上述产品被披露存在SQL注入漏洞，攻击者可利用漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。

CNVD收录的相关漏洞包括：Delta Electronics DIAEnergie SQL注入漏洞（CNVD-2022-27435、CNVD-2022-27434、CNVD-2022-27438、CNVD-2022-27437、CNVD-2022-27436、CNVD-2022-27441、CNVD-2022-27440、CNVD-2022-27439）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Reolink Rlc-410W拒绝服务漏洞（CNVD-2022-27432）

Reolink Rlc-410W是中国Reolink公司的一款Wifi安全摄像头。上周，Reolink RLC-410W存在拒绝服务漏洞。攻击者可利用漏洞通过编制的HTTP请求，导致重新启动。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在权限提升漏洞，攻击者可利用漏洞升级权限。此外，F5、Tenda、Delta Electronics等多款产品被披露存在多个漏洞，攻击者可利用漏洞执行未经授权的操作，注入任意SQL查询、检索和修改数据库内容以及执行系统命令，导致拒绝服务等。另外，Reolink Rlc-410W被披露存在拒绝服务漏洞，攻击者可利用漏洞通过编制的HTTP请求，导致重新启动。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、公安部、中国农业银行、中信银行、河北银行、桂林银行金融服务、安徽农金电子银行、微众银行报道

责任编辑：韩希宇