国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞474个，互联网上出现“CSCMS Music Portal System SQL注入漏洞、Badminton Center Management System SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

深圳金融局：虚拟货币交易炒作严重扰乱经济金融秩序 谨防上当受骗

深圳市地方金融监督管理局、中国人民银行深圳市中心支行、深圳市发展和改革委员会提醒广大投资者对上述非法金融活动保持警惕，谨防上当受骗。>>详细

投资“元宇宙”？警惕“风口”变“风险”

活动披着元宇宙”的外衣，具有较大诱惑力、较强欺骗性，参与者易遭受财产损失。请社会公众增强风险防范意识和识别能力，谨防上当受骗。>>详细

谨慎网购 拒收骗局 | 警惕新套路 防疫要防骗

请勿听从对方，请勿点击不明短信链接或者网站链接，请勿进行转账、汇款、扫码支付等。>>详细

投资虚拟货币高收益？小心掉进诈骗局！

天上不会掉馅饼，小伙伴们要警惕“虚拟货币”投资！树立正确投资理念，不盲目追求高收益。>>详细

消保小课堂 | 普及金融知识，守住钱袋子

互联网时代的金融广告层出不穷，金融产品和服务五花八门，让人眼花缭乱。但是金融的本质没有发生变化，金融消费者应通过学习和了解基本的金融知识和技能、培养良好的金融行为习惯和态度，提升自身的金融素养，才能应对不断变化的金融市场。>>详细

【防范】警惕以虚拟货币、区块链、NFT项目为噱头的“金融创新”类诈骗

集资的防范能力，警惕以虚拟货币、区块链、NFT项目为噱头的“金融创新”类诈骗，帮助百姓守住钱袋子，护好幸福家。>>详细

工业重器 安全为重 CFCA“夯实”工业互联网数据安全

CFCA面向工业互联网行业的各类工业企业客户，针对工业互联网中数据防护弱、身份认证难等安全问题，提供切实符合国家法规、商用密码标准、符合当下监管要求、成熟可靠的的数据安全解决方案。>>详细

不可不知的两种信用卡电信网络诈骗套路

申请办理任何可透支的金融类卡时，都会受到申请单位的严格审查，并核定金融类卡的消费额度，绝对不会是所谓的“工作人员”承诺您多少就是多少。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年6月13日-19日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞474个，其中高危漏洞146个、中危漏洞284个、低危漏洞44个。漏洞平均分值为5.93。上周收录的漏洞中，涉及0day漏洞361个（占76%），其中互联网上出现“CSCMS Music Portal System SQL注入漏洞、Badminton Center Management System SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Acrobat Reader是一款PDF查看器。该软件用于打印，签名和注释PDF。Adobe InCopy是美国Adobe公司的一款用于创作的文本编辑软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取系统上的敏感信息，在目标系统上执行任意代码。

CNVD收录的相关漏洞包括：多款Adobe产品越界读取漏洞（CNVD-2022-45905、CNVD-2022-45904、CNVD-2022-45906、CNVD-2022-45908、CNVD-2022-45907、CNVD-2022-45910、CNVD-2022-45911）、Adobe InCopy越界写入漏洞（CNVD-2022-45913）。其中，“多款Adobe产品越界读取漏洞（CNVD-2022-45906）、Adobe InCopy越界写入漏洞（CNVD-2022-45913）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Bootloader是其中的一个启动加载程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过精心设计的HTML页面执行沙盒逃逸，导致权限提升，造成应用拒绝服务等。

CNVD收录的相关漏洞包括：Google Chrome资源管理错误漏洞（CNVD-2022-44716、CNVD-2022-44715、CNVD-2022-44718、CNVD-2022-44717、CNVD-2022-44720、CNVD-2022-44719）、Google Android拒绝服务漏洞（CNVD-2022-45914）、Google Android权限提升漏洞（CNVD-2022-45915）。其中，“Google Android权限提升漏洞（CNVD-2022-45915）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Firepower Threat Defense是一套提供下一代防火墙服务的统一软件。Cisco Adaptive Security Appliances Software是一套防火墙和网络安全平台。该平台提供了对数据和网络资源的高度安全的访问等功能。Cisco Unified Communications Manager是美国思科（Cisco）公司的一款统一通信系统中的呼叫处理组件。该组件提供了一种可扩展、可分布和高可用的企业IP电话呼叫处理解决方案。Unified Communications Manager Session Management Edition是Unified Communications Manager的会话管理版。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问底层操作系统上的敏感文件，执行任意脚本代码，造成拒绝服务条件（DoS）等。

CNVD收录的相关漏洞包括：Cisco Adaptive Security Appliance和Firepower Threat Defense信息泄露漏洞、Cisco Adaptive Security Appliance和Firepower Threat Defense拒绝服务漏洞（CNVD-2022-44686、CNVD-2022-44689）、Cisco Adaptive Security Appliance和Firepower Threat Defense权限提升漏洞、Cisco Unified CM和Unified CM SME任意文件读取漏洞、Cisco Unified CM和Unified CM SME任意文件写入漏洞、Cisco Unified CM和Unified CM SME跨站脚本漏洞、Cisco Unified CM和Unified CM SME拒绝服务漏洞。其中，“Cisco Adaptive Security Appliance和Firepower Threat Defense拒绝服务漏洞（CNVD-2022-44686、CNVD-2022-44689）、Cisco Adaptive Security Appliance和Firepower Threat Defense权限提升漏洞、Cisco Unified CM和Unified CM SME任意文件写入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

SINEMA Remote Connect是一个远程网络管理平台，可轻松管理总部、服务技术人员和已安装机器或工厂之间的隧道连接 (VPN)。Mendix SAML Module允许使用SAML对云应用程序中的用户进行身份验证。该模块可以与任何支持SAML2.0或Shibboleth的身份提供者进行通信。Xpedition Enterprise是一款PCB设计流程，提供从系统设计定义到制造执行的集成。SICAM GridEdge只需单击几下即可使您现有的IEC61850设备具有物联网功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞创建具有管理权限的新用户，更改用户的数据，注入任意代码并提升权限等。

CNVD收录的相关漏洞包括：Siemens SINEMA Remote Connect Server用户管理错误漏洞、Siemens SINEMA Remote Connect Server数据真实性验证错误漏洞、Siemens SINEMA Remote Connect Server身份验证错误漏洞、Siemens Mendix SAML Module跨站脚本漏洞、Siemens Xpedition Designer本地权限提升漏洞、Siemens SICAM GridEdge身份验证错误漏洞（CNVD-2022-45216）、Siemens SICAM GridEdge资源泄漏漏洞、Siemens SICAM GridEdge身份验证错误漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-816 A2命令注入漏洞（CNVD-2022-45933）

D-Link DIR-816 A2是中国台湾友讯（D-Link）公司的一款无线路由器。上周，D-Link DIR-816 A2被披露存在命令注入漏洞。该漏洞源于/goform/setSysAdm中的admuser和admpass参数未能正确过滤构造命令特殊字符、命令等。攻击者可利用该漏洞通过精心设计的负载将权限提升到root。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞读取系统上的敏感信息，在目标系统上执行任意代码。此外，Google、Cisco、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞访问底层操作系统上的敏感文件，创建具有管理权限的新用户，更改用户的数据，执行任意脚本代码，导致权限提升，造成拒绝服务条件（DoS）等。另外，D-Link DIR-816 A2被披露存在命令注入漏洞。攻击者可利用该漏洞通过精心设计的负载将权限提升到root。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、深圳市地方金融监督管理局、中国农业银行、交通银行、兴业银行、蒙商银行、广州农村商业银行报道

责任编辑：韩希宇