国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞589个，互联网上出现“Tenda AC9缓冲区溢出漏洞、D-Link DIR-816 A2命令注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

保护个人信息 防范电信网络诈骗

网络诈骗花样多，送礼返利又会说；如果您爱贪小利，陷阱处处等着你。个人信息要保密，不能到处来登记；莫信天上掉馅饼，不起贪念要牢记。>>详细

【反诈拒赌 安全支付】中国支付清算协会防范“涉疫诈骗”温馨提示

中国支付清算协会坚持“为人民群众办实事”的宗旨，汇总国家反诈中心、会员单位、互联网络等发布的相关反诈案例素材，编写防范“涉疫诈骗”温馨提示，引导普通老百姓正确认知和防范欺诈风险，牢牢守护人民群众的钱袋子安全。>>详细

“断卡”行动金融惩戒标配：5年内暂停被惩戒人支付账户所有业务

近年来，多地公示了“断卡”行动金融惩戒人员名单，同时，银行也在加强对账户的管理。5年内暂停被惩戒人支付账户所有业务成为“断卡”行动金融惩戒标配。>>详细

帮忙？帮凶！警惕电诈背后的“帮信”陷阱

信用卡仅限持卡人本人使用，切勿因为一时贪念而把自己银行卡、账户及重要的个人信息出借或出售他人，以免成为犯罪分子的帮凶！>>详细

【上银消保】普及金融知识 共创美好生活

扶助特殊群体，普及金融知识，有你有我！小海豚豚来给您讲解金融知识啦！>>详细

互联网大厂在邮件安全上“塌房”，钓鱼攻击就这么难防？

企业信息安全体系建设包括两个核心部分：一个是安全技术，另一个是安全管理。两者相辅相成，缺一不可。>>详细

以案说消保|郑州银行员工拦截电信诈骗、筑牢金融防线

结合日常培训掌握的防范电信诈骗知识和识别技巧，郑州银行工作人员判定客户遭遇了电信诈骗，第一时间通知营业室主任并安抚客户情绪。>>详细

【小河讲反洗钱】教你识破“套路贷”

如确有借款需要，一定要保持理性和警惕，务必从正规合法的金融机构办理借贷业务，切不可轻信小广告或者网络虚假信息。>>详细

普及|银行卡安全使用小锦囊

银行卡作为最重要的支付工具，是大家日常生活中必不可少的帮手。那么，在使用银行卡时，都要注意什么？快来拆开这些用卡安全小锦囊吧！>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年5月30日-6月5日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞589个，其中高危漏洞219个、中危漏洞322个、低危漏洞48个。漏洞平均分值为6.04。上周收录的漏洞中，涉及0day漏洞497个（占84%），其中互联网上出现“Tenda AC9缓冲区溢出漏洞、D-Link DIR-816 A2命令注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Photoshop输入验证错误漏洞、Adobe Photoshop越界写入漏洞（CNVD-2022-42165、CNVD-2022-42164、CNVD-2022-42169、CNVD-2022-42168、CNVD-2022-42167、CNVD-2022-42171、CNVD-2022-42170）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2022-42138、CNVD-2022-42142、CNVD-2022-42141、CNVD-2022-42140、CNVD-2022-42139、CNVD-2022-42143、CNVD-2022-42148、CNVD-2022-42147）。其中，除“Google Android权限提升漏洞（CNVD-2022-42148）、Google Android权限提升漏洞（CNVD-2022-42147）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress产品安全漏洞

WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行SQL注入、删除缓存、删除源、创建源、上传恶意文件导致远程任意代码执行等操作。

CNVD收录的相关漏洞包括：WordPress Hermit plugin SQL注入漏洞、WordPress Hermit plugin跨站请求伪造漏洞、WordPress VikBooking Hotel Booking Engine&PMS plugin信息泄露漏洞、WordPress VikBooking Hotel Booking Engine&PMS plugin任意文件上传漏洞、WordPress Booking Calendar plugin代码问题漏洞、WordPress Daily Prayer Time plugin SQL注入漏洞、WordPress插件Donations SQL注入漏洞、WordPress插件Users Ultra SQL注入漏洞。其中，除“WordPress Hermit plugin跨站请求伪造漏洞、WordPress VikBooking Hotel Booking Engine&PMS plugin信息泄露漏洞、WordPress Booking Calendar plugin代码问题漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

Dell Vnx2Oe For File是美国戴尔（Dell）公司的一个操作环境。Dell PowerEdge Server BIOS是一款系统更新驱动程序。DELL EMC PowerScale是一套适用于非结构化数据的横向扩展存储系统。Dell EMC NetWorker是一套统一备份和恢复软件。该软件提供备份与恢复、消除重复数据、备份报告等功能。DELL Dell Wyse Management Suite是一套用于管理和优化Wyse端点的、可扩展的解决方案。该产品包括Wyse端点集中管理、资产追踪和自动设备发现等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞越权访问或者覆盖敏感数据，提升其权限，执行命令等。

CNVD收录的相关漏洞包括：Dell Vnx2Oe For File路径遍历漏洞、Dell OpenManage Enterprise权限提升漏洞（CNVD-2022-42737）、DELL EMC AppSync路径遍历漏洞、Dell VNX2 OE for File远程代码执行漏洞（CNVD-2022-42739）、Dell PowerEdge缓冲区溢出漏洞、DELL EMC PowerScale代码问题漏洞、Dell EMC NetWorker信息泄露漏洞（CNVD-2022-42743）、Dell Wyse Device Agent授权问题漏洞。其中，“Dell OpenManage Enterprise权限提升漏洞（CNVD-2022-42737）、Dell VNX2 OE for File远程代码执行漏洞（CNVD-2022-42739）、Dell PowerEdge缓冲区溢出漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Asus DSL-N14U-B1拒绝服务漏洞

ASUS DSL-N14U-B1是中国华硕（ASUS）公司的一款路由器设备。上周，ASUS DSL-N14U-B1被披露存在拒绝服务漏洞。攻击者可利用该漏洞使用nmap之类的工具执行TCP SYN扫描造成拒绝服务 (DoS) 。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外，Google、WordPress、Dell等多款产品被披露存在多个漏洞，攻击者可利用漏洞越权访问或者覆盖敏感数据，提升其权限，执行命令，执行SQL注入攻击，删除缓存，删除源，创建源，上传恶意文件从而远程执行任意代码等。另外，ASUS DSL-N14U-B1被披露存在拒绝服务漏洞。攻击者可利用该漏洞使用nmap之类的工具执行TCP SYN扫描造成拒绝服务 (DoS) 。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、证券日报、中国支付清算协会、中国农业银行、平安银行、上海银行、河北银行、郑州银行、广东农信报道

责任编辑：韩希宇