国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞462个，互联网上出现“FUEL CMS跨站脚本漏洞（CNVD-2022-38554）、ftcms任意文件写入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【消费者权益保护】银发族守住钱袋子，保护个人信息安全

不点击来路不明的网站链接更不要轻易透露您的个人信息。如:姓名、家庭住址、银行卡号、身份证号、手机号、短信验证码等，警惕被 不法分子利用进而造成损失。>>详细

小智快报，筑起防骗安全网！

收到不清楚是否为官方发送的短信，可通过网点柜面或拨打银行官方客服电话核实。>>详细

【知识】密码法小测验，你都答对了吗？

南京银行科技活动周知识小课堂开课啦！本周普法知识--《密码法》。>>详细

【消保小讲堂】保护个人信息，就是保护财产安全

不要随便安装来路不明的软件、轻易打开陌生人发来的邮件，尤其是带有中奖、领奖等诱惑性信息的邮件。>>详细

【小河讲反洗钱】看似“躺赚”实则“被骗”

任由骗术怎么变，我不转账应万变！投资时一定要选择正规投资理财途径，不要被暂时的高利息迷惑双眼，不登录来历不明的网址/网站，不随意点击手机短信和邮件中未知链接。>>详细

区块链+隐私计算产品一站式测评，了解一下！

CFCA已依据JR/T 0193—2020《区块链技术金融应用 评估规则》提供针对区块链技术产品基础功能、性能和安全性的评估服务，依据T/PCAC 0009-2021《多方安全计算金融应用评估规范》提供针对多方安全计算产品基本要求、安全和性能的评估服务。>>详细

以案说险—安全用卡 远离风险

随着互联网技术的不断发展，银行卡已经成为大众生活的重要金融工具，我们在享受银行卡带来便捷生活的同时，应当掌握安全用卡常识，防范不法分子侵害，保障个人账户安全。>>详细

防骗|“您已中本次活动特等奖，请点击链接领取”

牢牢记住一句话“天上不会掉馅饼”，购买理财产品要到正规金融机构才安全可靠。面对高额利润的诱惑，只要不贪心，多留心，定能识破骗子的把戏。>>详细

花钱就能洗白“征信”？向“征信修复”乱象“亮剑”！

近期，社会上“征信修复”、“信用修复”、“征信铲单”、“征信洗白”乱象时有发生，给公众的信息安全及财产安全造成了一定的威胁。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年5月16日-22日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞462个，其中高危漏洞152个、中危漏洞273个、低危漏洞37个。漏洞平均分值为5.93。上周收录的漏洞中，涉及0day漏洞368个（占80%），其中互联网上出现“FUEL CMS跨站脚本漏洞（CNVD-2022-38554）、ftcms任意文件写入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

D-Link产品安全漏洞

D-Link DIR-823G是中国台湾友讯（D-Link）公司的一款无线路由器。D-Link DIR-823-Pro是一款路由器。D-Link DIR-846是中国台湾友讯（D-Link）公司的一款无线路由器。D-Link DIR-878是中国台湾友讯（D-Link）公司的一款无线路由器。D-Link Dir-X1860是中国友讯（D-Link）公司的一款双频路由器。D-Link DIR-842是台湾友讯科技股份有限公司生产的家用路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞实现命令注入，执行远程代码等。

CNVD收录的相关漏洞包括：D-Link DIR-823G命令注入漏洞（CNVD-2022-38532）、D-Link DIR-823-Pro命令注入漏洞（CNVD-2022-38531）、D-Link DIR-846命令执行漏洞、D-Link DIR-878命令注入漏洞（CNVD-2022-38533）、D-Link Dir-X1860拒绝服务漏洞（CNVD-2022-38536）、D-Link DIR-842 telnetd认证防爆破保护机制绕过漏洞、D-Link DAP-1860远程代码执行漏洞（CNVD-2022-38539、CNVD-2022-38538）。其中，除“D-Link Dir-X1860拒绝服务漏洞（CNVD-2022-38536）D-Link DIR-842 telnetd认证防爆破保护机制绕过漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Jena是美国阿帕奇（Apache）基金会的一个Java语义网框架。用于构建语义Web和链接数据应用程序。Apache Superset是一个现代的，工业级的Business Intelligence的Web应用。Apache Subversion是美国阿帕奇（Apache）基金会的一套开源的版本控制系统。该系统可兼容并发版本系统(CVS)。Apache Apisix是美国阿帕奇（Apache）基金会的一个云原生的微服务API网关服务。该软件基于OpenResty和etcd来实现，具备动态路由和插件热加载，适合微服务体系下的API管理。Apache James是美国阿帕奇（Apache）基金会的一个完全用Java编写的开源Smtp和Pop3邮件传输代理和Nntp新闻服务器。Apache DolphinScheduler是美国阿帕奇（Apache）基金会的一个分布式的基于DAG可视化的工作流任务调度系统。Apache Hadoop是美国阿帕奇（Apache）基金会的一套开源的分布式系统基础架构。该产品能够对大量数据进行分布式处理，并具有高可靠性、高扩展性、高容错性等特点。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发送特制的XML文件读取文件，执行任意SQL语句，如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。

CNVD收录的相关漏洞包括：Apache Jena XML外部实体注入漏洞（CNVD-2022-38521）、Apache Superse SQL注入漏洞、Apache Subversion资源管理错误漏洞、Apache Apisix信息泄露漏洞、Apache James路径遍历漏洞（CNVD-2022-38529）、Apache DolphinScheduler拒绝服务漏洞、Apache Hadoop路径遍历漏洞、Apache Apisix输入验证错误漏洞。其中，“Apache Jena XML外部实体注入漏洞（CNVD-2022-38521）、Apache Superse SQL注入漏洞、Apache Hadoop路径遍历漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Sterling B2B Integrator是美国IBM公司的一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。IBM DataPower Gateway是美国IBM公司的一套专门为移动、云、应用编程接口（API）、网络、面向服务架构（SOA）、B2B和云工作负载而设计的安全和集成平台。该平台可利用专用网关平台跨渠道保护、集成和优化访问。IBM Spectrum Virtualize是美国IBM公司的一个块存储虚拟化系统。可提高新的和现有存储基础架构的数据价值、安全性和简单性。IBM Maximo Asset Management是美国IBM公司的一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产，如设施、交通运输等，并对这些资产实现单点控制。IBM Robotic Process Automation是美国IBM公司的一种机器人流程自动化产品。可帮助您以传统RPA的轻松和速度大规模自动化更多业务和 IT 流程。IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。Planning Analytics Workspace是IBM Planning Analytics的Web管理界面。IBM InfoSphere Information Server是一个数据集成软件平台。它的主要服务是帮助我们能理解、清理、监控、转换和交付数据。IBM Security Identity Manager（ISIM）是美国IBM公司的一套身份管理和治理解决方案。该方案可在整个用户生命周期内自动创建、修改、重新认证和终止用户特权，并支持基于策略的密码管理。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞可访问任意页面，将恶意可执行文件上传到系统中，可能会导致代码执行等。

CNVD收录的相关漏洞包括：IBM Sterling B2B Integrator拒绝服务漏洞、IBM DataPower Gateway拒绝服务漏洞（CNVD-2022-38547）、IBM Spectrum Virtualize访问控制错误漏洞、IBM Maximo Asset Management输入验证错误漏洞、IBM Robotic Process Automation输入验证错误漏洞、IBM Planning Analytics Workspace文件上传漏洞、IBM InfoSphere Information Server权限提升漏洞（CNVD-2022-38557）、IBM Security Identity Manager缓冲区溢出漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Tenda产品安全漏洞

Tenda AX1806是中国腾达（Tenda）公司的一款WiFi6无线路由器。Tenda AC15是中国腾达（Tenda）公司的一款无线路由器。Tenda AC9是中国腾达（Tenda）公司的一款无线路由器。Tenda AX12是中国腾达（Tenda）公司的一款双频千兆Wifi 6无线路由器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞造成拒绝服务 (DoS)，导致堆栈溢出等。

CNVD收录的相关漏洞包括：Tenda AX1806堆栈溢出漏洞（CNVD-2022-38061、CNVD-2022-38064、CNVD-2022-38063、CNVD-2022-38065）、Tenda AC15缓冲区溢出漏洞、Tenda AC15命令注入漏洞、Tenda AC9堆栈溢出漏洞（CNVD-2022-38540）、Tenda AX12缓冲区溢出漏洞（CNVD-2022-38541）。其中，除“Tenda AC15缓冲区溢出漏洞（CNVD-2022-38165）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda AC9堆栈溢出漏洞（CNVD-2022-38543）

Tenda AC9是中国腾达（Tenda）公司的一款无线路由器。上周，Tenda AC9被披露存在堆栈溢出漏洞。攻击者可利用该漏洞导致服务端栈溢出。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，D-Link产品被披露存在多个漏洞，攻击者可利用漏洞实现命令注入，执行远程代码等。此外，Apache、IBM、Tenda等多款产品被披露存在多个漏洞，攻击者可利用漏洞发送特制的XML文件读取文件，执行任意SQL语句，访问任意页面，将恶意可执行文件上传到系统中，可能会导致代码执行等。另外，Tenda AC9被披露存在堆栈溢出漏洞。攻击者可利用该漏洞导致服务端栈溢出。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、光大远程微讯、渤海银行、南京银行、河北银行、锦州银行、桂林银行金融服务、深圳农商银行、广东农信报道

责任编辑：韩希宇