国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞311个，互联网上出现“Appneta Tcpreplay缓冲区溢出漏洞、Pimcore SQL注入漏洞（CNVD-2022-29569）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

人民银行有关负责同志参加国新办打击治理电信网络诈骗犯罪工作进展情况发布会

2021年，金融系统识别拦截资金能力明显上升，成功避免大量群众受骗，月均涉诈单位银行账户数量降幅92%，个人银行账户户均涉诈金额下降21.7%。>>详细

兴业银行郑州分行：防范网络电信诈骗 保障客户资金安全

该行全面贯彻落实总行及监管机构打击治理电信网络诈骗的工作要求，积极践行“支付为民”工作理念，统筹开展账户风险防控和优化账户服务工作，有力切断不法分子诈骗资金转移链条，牢牢守住人民群众的“钱袋子”。>>详细

有温度的消保 | 安全用卡，谨防盗刷

正确申请信用卡，办理进度常跟进，领取之后多观察，谨慎保管防盗刷。>>详细

【消费者权益保护】个人金融信息保护小贴士

据研究表明，90%以上的电信诈骗都是从个人信息泄露开始的。在此提醒广大社会公众注意保护个人信息，不轻信、不透露、不转账、不 参与，预防电信诈骗。>>详细

普及|用卡安全知识课堂来啦！

保护好网银系统登录账号和密码等个人信息，不出租、出借、出售个人银行卡、身份证、网银口令牌等账户存取工具，以免造成经济损失，并承担法律责任。>>详细

乐乐防诈指南丨网络贷款&刷单返利？小心套路！

所有刷单都是诈骗，千万不要被蝇头小利迷惑，千万不要交纳任何保证金和押金！>>详细

【小河讲反洗钱】如何区分流调和诈骗电话

电信诈骗电话号码一般为国际来电，号码开头有“+”，或不显示归属地，或归属地显示“未知”，基本都是诈骗的！别接！>>详细

如何保护个人金融信息安全

个人金融信息是指金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息,包括账户信息、鉴别信息、金融交易信息、个人身份信息，财产信息、借贷信息及其他反应特定个人某些情况的信息。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年4月11日-17日）信息安全漏洞威胁整体评价级别为中。上周信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞311个，其中高危漏洞108个、中危漏洞177个、低危漏洞26个。漏洞平均分值为6.00。上周收录的漏洞中，涉及0day漏洞196个（占63%），其中互联网上出现“Appneta Tcpreplay缓冲区溢出漏洞、Pimcore SQL注入漏洞（CNVD-2022-29569）”等零日代码攻击漏洞。

上周重要漏洞安全告警

WordPress产品安全漏洞

WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在客户端执行JavaScript代码，上传任意文件，窃取数据库敏感数据等。

CNVD收录的相关漏洞包括：WordPress插件授权问题漏洞、WordPress Social Sharing plugin跨站脚本漏洞、WordPress Popup Like box plugin跨站脚本漏洞、WordPress Pz-LinkCard plugin跨站脚本漏洞、WordPress Sermon Browser plugin跨站请求伪造漏洞、WordPress Plezi plugin跨站脚本漏洞、WordPress Popup Builder plugin SQL注入漏洞、WordPress Narnoo Distributor plugin路径遍历漏洞。其中，“WordPress Popup Builder plugin SQL注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

SCALANCE X switches用于连接可编程逻辑控制器等工业组件(PLC)或人机界面(HMI)。SIPLUS extreme专为在极端条件下可靠运行而设计。Simcenter Femap是一种高级仿真应用程序，用于创建、编辑和检查复杂产品或系统的有限元模型。SIMATIC PCS neo是一种分布式控制系统 (DCS)。TIA Administrator是一个基于Web的框架。Siemens Network Planner (SINETPLAN) 支持您作为基于 PROFINET 的自动化系统的规划者。TIA Portal是一款PC软件。SIMATIC S7-400 CPU系列产品专为工业环境中的过程控制而设计。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在设备上执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Siemens SCALANCE X-300 Switch Family Devices缓冲区溢出漏洞（CNVD-2022-28480、CNVD-2022-28484、CNVD-2022-28479）、Siemens SCALANCE X-300 Switch Family Devices跨站请求伪造漏洞、Siemens Simcenter Femap存在越界写入漏洞（CNVD-2022-28488）、Siemens TIA Administrator拒绝服务漏洞、Siemens Simcenter Femap越界读取漏洞（CNVD-2022-28490）、Siemens SIMATIC S7-400 CPU拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Android是一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码或造成拒绝服务情况，提升权限等。

CNVD收录的相关漏洞包括：Google Chrome V8代码执行漏洞（CNVD-2022-28467）、Google Chrome File System API信息泄露漏洞、Google Android权限提升漏洞（CNVD-2022-28909、CNVD-2022-28911、CNVD-2022-28910、CNVD-2022-28917、CNVD-2022-28915、CNVD-2022-28918）。其中，除“Google Android权限提升漏洞（CNVD-2022-28917、CNVD-2022-28915、CNVD-2022-28918）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows是一款由美国微软公司开发的窗口化操作系统。Microsoft Office是一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft SharePoint是一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft Visual Studio Code是一款开源的代码编辑器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在目标主机上执行代码、提升权限等。

CNVD收录的相关漏洞包括：Microsoft Windows Win32k权限提升漏洞（CNVD-2022-29559、CNVD-2022-29560）、Microsoft Windows Telephony Server权限提升漏洞（CNVD-2022-29562）、Microsoft Windows Upgrade Assistant远程代码执行漏洞（CNVD-2022-29561）、Microsoft Office远程代码执行漏洞（CNVD-2022-29564）、Microsoft Windows Kernel信息泄露漏洞（CNVD-2022-29563）、Microsoft SharePoint Server欺骗漏洞（CNVD-2022-29567）、Microsoft Visual Studio Code代码注入漏洞（CNVD-2022-29568）。其中，“Microsoft Windows Win32k权限提升漏洞（CNVD-2022-29559、CNVD-2022-29560）、Microsoft Office远程代码执行漏洞（CNVD-2022-29564）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux kernel缓冲区溢出漏洞（CNVD-2022-29295）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，Linux kernel被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞绕过Linux内核的访问限制，通过特定内容来读取或修改数据。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，WordPress产品被披露存在多个漏洞，攻击者可利用漏洞在客户端执行JavaScript代码，上传任意文件，窃取数据库敏感数据等。此外，Siemens、Google、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，提升权限导致拒绝服务等。另外，Linux kernel被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞绕过Linux内核的访问限制，通过特定内容来读取或修改数据。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、和讯网、中国人民银行、中信银行、渤海银行、快乐长行人、抚顺银行、河北银行、广东农信报道

责任编辑：韩希宇