国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞369个，互联网上出现“AeroCMS跨站脚本漏洞（CNVD-2022-30784）、CxuuCms跨站脚本漏洞（CNVD-2022-31818）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【防骗】见招拆招！假期警惕“防疫”骗局

切记要通过银行等国家正规金融机构申请贷款，如有疑问请拨打银行客服电话咨询，不要轻易扫描来源不明的二维码。>>详细

【防骗】警惕社保卡相关电信诈骗，守住咱的钱袋子 ！

任何个人或者机构提出收钱可以代缴社保的，都是诈骗行为或伪造参保的违法行为。>>详细

以案说险——这些“套路”营销，你不得不了解

在贷款营销中，要警惕类似“套路贷”的营销宣传行为,这类行为中会存在息费不透明，故意模糊借贷成本，不明示年化综合资金成本等问题。>>详细

有温度的消保 | 疫情期间，小心这些骗局！

疫情防控期间，不法分子以“疫”之名借机敛财，千方百计实施诈骗，大家快来了解一下，谨防被套路！>>详细

疫情波动，合同线上签署如何安心实现？

CFCA安心签电子签约综合服务平台，为企业提供合法、安全、便捷的电子化签约方式，帮助企业快速实现各类公文、合同、协议全程线上签署。>>详细

【安全】不可忽视的个人信息保护！

不法分子在精准掌握用户个人信息的前提下，能编造出迷惑性更高的诈骗场景，继而实施欺诈。>>详细

数据资源“富矿”近在眼前 金融行业数据中心建设如何又快又稳？

数据中心通过CFCA检测后，将获得由北京国家金融科技认证中心颁发的《金融行业数据中心基础设施等级认证服务认证证书》或《金融业信息系统机房动力系统认证服务认证证书》。>>详细

【消保】消保靠“浦” 以案说险——散播虚假疫情信息?“警官”要你协助破案

电信诈骗手法从以往单一的诈骗形式开始向复杂多变的手段演化，打着疫情防控的幌子，让受害人在多层骗局中信以为真。>>详细

信用卡|如何防范信用卡诈骗？

作为精明的消费者，一定要对信用卡类电信诈骗有足够的了解，才能避免上当受骗哦。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年4月18日-24日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞369个，其中高危漏洞110个、中危漏洞219个、低危漏洞40个。漏洞平均分值为5.81。本周收录的漏洞中，涉及0day漏洞192个（占52%），其中互联网上出现“AeroCMS跨站脚本漏洞（CNVD-2022-30784）、CxuuCms跨站脚本漏洞（CNVD-2022-31818）”等零日代码攻击漏洞。

本周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Fscrypt是美国谷歌（Google）公司的一个开源高级工具。用于管理 Linux 本机文件系统加密。Google Chrome是美国谷歌（Google）公司的一款Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，升级系统上的权限，执行任意代码等。

CNVD收录的相关漏洞包括：Google Android输入验证错误漏洞（CNVD-2022-31771、CNVD-2022-31845）、Google fscrypt命令注入漏洞、Google Android缓冲区溢出漏洞（CNVD-2022-31836、CNVD-2022-31840）、Google Chrome输入验证错误漏洞（CNVD-2022-31839）、Google Android权限许可和访问控制问题漏洞（CNVD-2022-31846、CNVD-2022-31844）。其中，除“Google Android输入验证错误漏洞（CNVD-2022-31771、CNVD-2022-31836）、Google Chrome输入验证错误漏洞（CNVD-2022-31839）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ASUS产品安全漏洞

ASUS RT-AX56U是中国台湾华硕（ASUS）公司的一款无线路由器。ASUS RT-AC86U是中国华硕（ASUS）公司的一款双频Wi-Fi路由器。ASUS RT-AC56U是中国华硕（ASUS）公司的一款双频Wi-Fi路由器。MyASUS是中国华硕（ASUS）公司的一个华硕官方PC应用程序。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞注入任意SQL代码来读取、修改和删除数据库，执行任意代码，执行任意操作或中断服务等。

CNVD收录的相关漏洞包括：ASUS RT-AX56U update_json函数路径遍历漏洞、ASUS RT-AC56U堆缓冲区溢出漏洞、ASUS RT-AC86U输入验证错误漏洞、ASUS RT-AX56U堆栈缓冲区溢出漏洞、ASUS RT-AX56U SQL注入漏洞、ASUS RT-AX56U update_PLC/PORT文件路径遍历漏洞、ASUS MyASUS权限提升漏洞、ASUS RT-AC86U命令注入漏洞。其中，“ASUS MyASUS权限提升漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

ZOHO产品安全漏洞

ZOHO ManageEngine ServiceDesk Plus（SDP）是美国卓豪（ZOHO）公司的一套基于ITIL架构的IT服务管理软件。该软件集成了事件管理、问题管理、资产管理IT项目管理、采购与合同管理等功能模块。ZOHO ManageEngine Adaudit Plus是美国Zoho Corporation公司的用于简化审计、证明合规性和检测威胁。ZOHO ManageEngine Netflow Analyzer是美国卓豪（ZOHO）公司的一套基于Web的带宽监控工具。该产品主要用于带宽监控和流量分析。ZOHO ManageEngine SharePoint Manager Plus是美国卓豪（ZOHO）公司的一个完整管理和审计解决方案。ZOHO ManageEngine Desktop Central（DC）是美国卓豪（ZOHO）公司的一套桌面管理解决方案。该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块，可对桌面机以及服务器管理的整个生命周期提供支持。ZOHO ManageEngine Key Manager Plus是卓豪（ZOHO）公司的一套基于WEB的SSH秘钥管理解决方案。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取供应商货币详细信息，在集成产品上进行经过身份验证的权限提升，进行远程代码执行等。

CNVD收录的相关漏洞包括：ZOHO ManageEngine ServiceDesk Plus信息泄露漏洞（CNVD-2022-29863）、Zoho ManageEngine ADAudit Plus远程代码执行漏洞、Zoho ManageEngine ADAudit Plus权限提升漏洞、Zoho ManageEngine Netflow Analyzer Professional跨站脚本漏洞、ZOHO ManageEngine SharePoint Manager Plus权限提升漏洞、ZOHO ManageEngine SharePoint Manager Plus授权问题漏洞、ZOHO ManageEngine Desktop Central信息泄露漏洞（CNVD-2022-29876）、ZOHO ManageEngine Key Manager Plus信息泄露漏洞。其中，“Zoho ManageEngine ADAudit Plus远程代码执行漏洞、ZOHO ManageEngine SharePoint Manager Plus权限提升漏洞、ZOHO ManageEngine SharePoint Manager Plus授权问题漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle Commerce是美国甲骨文（Oracle）公司的一套电子商务解决方案。Oracle Virtualization和Oracle VM VirtualBox都是美国甲骨文（Oracle）公司的产品。Oracle Virtualization是一套虚拟化解决方案。该产品用于统一管理从应用程序到磁盘的整个硬件和软件体系，可实现从桌面到数据中心的虚拟化。VM VirtualBox是其中的一个虚拟机组件。Oracle VM VirtualBox是一款虚拟机管理软件。Oracle Solaris是美国甲骨文（Oracle）公司的一套UNIX操作系统。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致MySQL Server挂起或频繁重复崩溃（完全 DOS），执行Oracle VM VirtualBox的基础设施来破坏Oracle VM VirtualBox等。

CNVD收录的相关漏洞包括：Oracle MySQL输入验证错误漏洞（CNVD-2022-31681、CNVD-2022-31688、CNVD-2022-31687、CNVD-2022-31686）、Oracle Virtualization和Oracle VM VirtualBox输入验证错误漏洞（CNVD-2022-31685）、Oracle Commerce输入验证错误漏洞（CNVD-2022-31684）、Oracle Virtualization和Oracle VM VirtualBox输入验证错误漏洞（CNVD-2022-31683）、Oracle Solaris拒绝服务漏洞（CNVD-2022-31682）。其中，“Oracle Commerce输入验证错误漏洞（CNVD-2022-31684）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux kernel资源管理错误漏洞（CNVD-2022-31767）

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周，Linux kernel被披露存在资源管理错误漏洞。攻击者可利用该漏洞造成拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

本周，Google产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，升级系统上的权限，执行任意代码等。此外，ASUS、ZOHO、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞注入任意SQL代码来读取、修改和删除数据库，执行任意代码，执行任意操作或中断服务等。另外，Linux kernel被披露存在资源管理错误漏洞。攻击者可利用该漏洞造成拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国农业银行微银行、交通银行微银行、中信银行、中国光大银行、浦发银行、南京银行、广东农信报道

责任编辑：韩希宇