国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞460个，互联网上出现“Covid-19 Travel Pass Management System任意文件删除漏洞、Merchandise Online Store SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【防范】反诈安全小课堂第一期——钓鱼网站和伪冒APP

如果在进入网页时浏览器弹出安全警告，或是提示您当前网站的安全证书无效，不要直接忽略继续浏览，一定要关闭。>>详细

【提示】企业如何防范电信诈骗？

电信诈骗手法千变万化，但万变不离其宗，要牢记“三不一多”原则：未知链接不点击，陌生来电不轻信，个人信息不透露，转账汇款多核实。>>详细

【安全课堂】及时完善个人信息，履行个人反洗钱义务

如您接到银行提示更新、补录个人信息的通知，应及时完成个人信息更新，避免影响账户的正常使用。>>详细

智慧反诈 平安守护 平安银行反诈委员会正式成立

为进一步遏止猖狂横行的电信网络诈骗，深化推进和组织反诈工作，平安银行正式成立防范电信网络诈骗委员会，全面指导并管理防范电信网络诈骗工作。>>详细

找不到U盾的财务人员，云证书只能帮你到这了！

近年来，越来越多银行引入移动端数字证书解决方案，为企业手机银行实现功能延展和转账提限，成为“企业网银+U盾”模式的有力补充。>>详细

实用|看清网贷常见陷阱，莫让诈骗趁“疫”横行

在以“高额度”诱惑借款人申请贷款后谎称其流水太低、综合评分不足，需要转账汇款刷流水，并表示后续这笔钱会同贷款金额一起返还，等刷完流水等审批时，骗子早已逃之夭夭！>>详细

有温度的消保丨网恋选我我超甜，又骗感情又骗钱！

网络交友别轻信，甜言蜜语是套路，投资理财需谨慎，高额回报要警惕。>>详细

投教赋能丨长沙银行投教基地开展金融大讲堂

长沙银行投资者教育基地作为全国首家银行类国家级综合型投资者教育基地，自成立以来，充分利用“投教+金教”成熟经验，面向公众开展形式多样、寓教于乐的投教活动。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年5月23日-29日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞460个，其中高危漏洞165个、中危漏洞274个、低危漏洞21个。漏洞平均分值为6.04。上周收录的漏洞中，涉及0day漏洞394个（占86%），其中互联网上出现“Covid-19 Travel Pass Management System任意文件删除漏洞、Merchandise Online Store SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

SAP产品安全漏洞

SAP Web dispatcher是Load Balancing 的核心组件，支持负载均衡，提供反向代理的功能，使得外网用户可以访问到内部应用。SAP Internet Communication Manager是一个SAP NetWeaver应用程序服务器的组件。用于接收和发送Web请求（HTTP、HTTPS、SMTP）。SAP BusinessObjects Business Intelligence Platform是德国思爱普（SAP）公司的一款完备的商务分析平台。该平台集市场领先的SAP数据整合产品、数据管理产品和商务智能 (BI) 产品于一身，可消除系统集成难题，快速、轻松地部署高性能的商务分析软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在客户端执行JavaScript代码，导致程序拒绝服务等。

CNVD收录的相关漏洞包括：SAP Web Dispatcher和Internet Communication Manager缓冲区溢出漏洞、SAP Web Dispatcher和Internet Communication Manager拒绝服务漏洞、SAP NetWeaver Application Server权限提升漏洞、SAP BusinessObjects Business Intelligence Platform XML外部实体注入漏洞、SAP BusinessObjects Business Intelligence Platform跨站脚本漏洞、SAP BusinessObjects Business Intelligence Platform授权问题漏洞、SAP BusinessObjects Business Intelligence platform信息泄露漏洞（CNVD-2022-41313、CNVD-2022-41312）。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Framemaker是美国奥多比（Adobe）公司的一套用于编写和编辑大型或复杂文档（包括结构化文档）的页面排版软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Framemaker越界写入漏洞（CNVD-2022-41732、CNVD-2022-41735、CNVD-2022-41734、CNVD-2022-41733、CNVD-2022-41737、CNVD-2022-41736、CNVD-2022-41740）、Adobe Framemaker资源管理错误漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Doris是美国阿帕奇（Apache）基金会的一个现代 MPP 分析数据库产品。可以提供亚秒级查询和高效的实时数据分析。Apache CouchDB是美国阿帕奇（Apache）基金会的使用Erlang开发的一套面向文档的数据库系统。Apache Tika是美国阿帕奇（Apache）基金会的一个集成了POI（使用Java程序对MicrosoftOffice格式文档提供读和写功能的开源函数库）、Pdfbox（读取和创建PDF文档的纯Java类库）并为文本抽取工作提供了统一界面的内容抽取工具集合。Apache ShenYu是美国阿帕奇（Apache）基金会的一个异步的，高性能的，跨语言的，响应式的 API 网关。Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache Traffic Server（ATS）是美国阿帕奇（Apache）基金会的一套可扩展的HTTP代理和缓存服务器。Apache DolphinScheduler是美国阿帕奇（Apache）基金会开发的一个分布式去中心化，易扩展的可视化DAG工作流任务调度平台。致力于解决数据处理流程中错综复杂的依赖关系，使调度系统在数据处理流程中开箱即用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞发送无效请求，获取和修改底层数据库中的信息，导致进程崩溃等。

CNVD收录的相关漏洞包括：Apache Doris信息泄露漏洞、Apache CouchDB访问控制错误漏洞、Apache Tika拒绝服务漏洞（CNVD-2022-41633）、Apache ShenYu拒绝服务漏洞、Apache HTTP Server拒绝服务漏洞（CNVD-2022-41639）、Apache Traffic Server输入验证错误漏洞（CNVD-2022-41636）、Apache DolphinScheduler SQL注入漏洞、Apache HTTP Server缓冲区溢出漏洞（CNVD-2022-41640）。其中，“Apache CouchDB访问控制错误漏洞、Apache HTTP Server缓冲区溢出漏洞（CNVD-2022-41640）” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞更改插件设置，在客户端执行JavaScript代码等。

CNVD收录的相关漏洞包括：WordPress插件Easy Google Maps跨站脚本漏洞、WordPress Ad Injection plugin跨站脚本漏洞、WordPress Advanced Page Visit Counter plugin SQL注入漏洞、WordPress Tripetto plugin跨站脚本漏洞、WordPress DW Question & Answer Pro plugin跨站请求伪造漏洞、WordPress DW Question & Answer Pro plugin访问控制错误漏洞、WordPress Coming Soon by Supsystic plugin跨站脚本漏洞、WordPress ShortPixel Adaptive Images plugin访问控制错误漏洞。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR816L远程代码执行漏洞

D-Link DIR816是一款双频路由器。上周，D-Link DIR816L被披露存在远程代码执行漏洞，该漏洞源于shareport.php的value参数未能正确过滤构造代码段的特殊元素。攻击者可利用此漏洞导致任意代码执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，SAP产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在客户端执行JavaScript代码，导致程序拒绝服务等。此外，Adobe、Apache、WordPress等多款产品被披露存在多个漏洞，攻击者可利用漏洞发送无效请求，获取和修改底层数据库中的信息，更改插件设置，在当前用户的上下文中执行任意代码，导致进程崩溃等。另外，D-Link DIR816被披露存在远程代码执行漏洞，攻击者可利用此漏洞导致任意代码执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国金融新闻网、中国农业银行微银行、交通银行公司金融、中信银行、北京银行微银行、快乐长行人、广东农信报道

责任编辑：韩希宇