国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞178个，互联网上出现“WUZHI CMS SQL注入漏洞（CNVD-2022-36985）、Bludit CMS跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

与民同心 中国银联助力守护百姓“钱袋子”

在中国人民银行和公安部的指导下，中国银联携手商业银行等产业机构，深化联防联控措施，积极应对犯罪手法新变化。>>详细

精准识诈及时拦截，避免客户大额损失

守住本心不贪小利！不亲信所谓的“高额刷单返利”“网络荐股”“网络彩票”等谎言。记得想想反诈“灵魂八问”！动动手指就能赚钱的好事为何就轮到了你？>>详细

【警惕】超前消费一时爽，纳入失信悔断肠

伴随着支付手段的推陈出新，形形色色的消费贷产品也层出不穷，如果不坚守理性消费的防线，个人债务的雪球将越滚越大，甚至陷入某些金融陷阱之中。>>详细

消保 | 征信修复是骗术，守住你的钱袋子

“征信修复”是骗术！既不靠谱又涉嫌违规违法。>>详细

数字金融生态“版本”更新快 CFCA为金融机构刷新“晋级装备”

CFCA从数据通信安全、无纸化电子签约、数据存储安全、基础服务应用、信息安全服务、区块链存证及司法服务等方面实践出一套适用于金融行业数字化转型，集产品与服务为一体的解决方案，所涉及产品完全符合政策法规、金融标准化以及国密改造要求。>>详细

【警惕】电信诈骗花样多，保护资金需警惕！

新型诈骗花样多，不理不睬不给钱，不明电话及时挂，可疑信息不要回，积极提供犯罪线索, 严厉打击电信诈骗犯罪！>>详细

消保微课堂||之加强农村金融知识普及 当心洗脑被忽悠

做好防范和处置非法集资工作事关人民群众切身利益，事关国家金融安全和社会稳定，也是打好防范化解重大风险攻坚战的重要任务之一。>>详细

【以案说险】不升级就注销？警惕电子社保卡诈骗！

社保诈骗“套路深，骗子为了“冲业绩”，花样不断升级，大家一定要提高警惕。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年5月9日-15日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞178个，其中高危漏洞67个、中危漏洞92个、低危漏洞19个。漏洞平均分值为5.88。上周收录的漏洞中，涉及0day漏洞86个（占48%），其中互联网上出现“WUZHI CMS SQL注入漏洞（CNVD-2022-36985）、Bludit CMS跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Mozilla产品安全漏洞

Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。Mozilla Firefox是一款开源Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，导致内存损坏等。

CNVD收录的相关漏洞包括：Mozilla Firefox跨站脚本漏洞（CNVD-2022-36976）、Mozilla Firefox欺骗攻击漏洞、Mozilla Firefox无限循环漏洞、Mozilla Firefox资源管理错误漏洞（CNVD-2022-36980）、Mozilla Firefox安全特征问题漏洞、Mozilla Firefox MessageTask资源管理错误漏洞、Mozilla Thunderbird信息泄露漏洞（CNVD-2022-36982）、Mozilla Firefox信息泄露漏洞（CNVD-2022-36981）。其中，“Mozilla Firefox安全特征问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Robotic Process Automation是美国IBM公司的一种机器人流程自动化产品。IBM Cloud Pak System是美国IBM公司的一套具有可配置、预集成软件的全栈、融合基础架构。IBM Robotic Process Automation是美国IBM公司的一种机器人流程自动化产品。IBM Security Guardium Data Encryption是美国IBM公司的一个应用软件。IBM MQ Appliance是美国IBM公司的一款用于快速部署企业级消息中间件的一体机设备。IBM Watson Query是美国IBM公司的一个通用查询引擎。IBM Cloud Pak for Business Automation是美国国际商业机器公司（IBM）的一组模块化的集成软件组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞解密敏感信息，枚举账户凭证，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM Robotic Process Automation授权问题漏洞、IBM Cloud Pak System加密问题漏洞、IBM Robotic Process Automation信息泄露漏洞、IBM Guardium Data Encryption（GDE）跨站脚本漏洞、IBM MQ Appliance信息泄露漏洞（CNVD-2022-36975）、IBM MQ Appliance拒绝服务漏洞（CNVD-2022-36974）、IBM Watson Query with Cloud Pak for Data as a Service权限提升漏洞、IBM Cloud Pak for Business Automation访问控制错误漏洞。目前，厂商已经发布了上述漏洞的修补程序。

SIEMENS产品安全漏洞

Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一个可为设计2D、3D场景提供团队协作功能的软件。Desigo PXC4楼宇自动化控制器是为暖通空调系统控制而设计的。它是一款紧凑型设备，内置IOs，能够通过额外的TX-IO模块扩展到您的需要。Desigo PXC5是一款可自由编程控制器，用于BACnet系统级功能，如报警路由、系统范围的调度和趋势分析，以及设备监控。Desigo DXR2控制器是可编程的自动化站，以支持终端HVAC设备和TRA（全房间自动化）应用的标准控制需求。Desigo PXC3系列自动化站可用于功能性和灵活性要求更高的建筑。SICAM P850多功能测量装置用于采集、可视化、评估和传输电气测量变量，如交流电、交流电压、频率、功率、谐波等。SICAM P855多功能设备用于收集、显示和传输测量的电气变量，如交流电流、交流电压、功率类型、谐波等。根据电能质量标准IEC 61000-4-30收集和处理测量值和事件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问设备的管理界面，在当前进程的上下文中执行代码，造成拒绝服务等。

CNVD收录的相关漏洞包括：Siemens JT2Go和Teamcenter Visualization双重释放漏洞（CNVD-2022-36381）、Siemens JT2Go和Teamcenter Visualization文件解析漏洞、Siemens Desigo PXC和DXR Devices远程代码执行漏洞、Siemens Desigo PXC和DXR Devices不受控制资源消耗漏洞、Siemens SICAM P850和SICAM P855 Devices跨站脚本漏洞（CNVD-2022-36389、CNVD-2022-36395、CNVD-2022-36391）、Siemens SICAM P850和SICAM P855 Devices绕过身份验证漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle Solaris是美国甲骨文（Oracle）公司的一套UNIX操作系统。Oracle WebLogic Server是一款适用于云环境和传统环境的应用服务中间件。Oracle MySQL是一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。MySQL Connectors是其中的一个连接使用MySQL的应用程序的驱动程序。Oracle Database Server是一套关系数据库管理系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取和操作数据，执行任意代码等。

CNVD收录的相关漏洞包括：Oracle Solaris输入验证错误漏洞（CNVD-2022-36946）、Oracle WebLogic Server输入验证错误漏洞（CNVD-2022-36951）、Oracle MySQL InnoDB组件拒绝服务漏洞、Oracle Database Server输入验证错误漏洞（CNVD-2022-36954、CNVD-2022-36953、CNVD-2022-36952、CNVD-2022-36958）、Oracle MySQL输入验证错误漏洞（CNVD-2022-36955）。目前，厂商已经发布了上述漏洞的修补程序。

Delta Electronics DIAEnergie SQL注入漏洞（CNVD-2022-36031）

IDelta Electronics DIAEnergie是一个工业能源管理系统，用于实时监控和分析能源消耗、计算能源消耗和负载特性、优化设备性能、改进生产流程并最大限度地提高能源效率。上周，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻击者可利用该漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Mozilla产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，导致内存损坏等。此外，IBM、Siemens、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞读取和操作数据，在当前进程的上下文中执行代码，造成拒绝服务等。另外，Delta Electronics DIAEnergie被披露存在SQL注入漏洞。攻击者可利用该漏洞注入任意SQL查询、检索和修改数据库内容以及执行系统命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国银联、中国光大银行、渤海银行、杭州银行消保之声、贵州银行、泉州银行、亿联银行报道

责任编辑：韩希宇