国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞383个，互联网上出现“WordPress WP Contacts Manager SQL注入漏洞、Jfinal CMS SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

国家互联网信息办公室发布《互联网用户账号信息管理规定》

建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。>>详细

【消保】消保靠“浦”——爸爸，我有一份礼物送给你~

保护征信记录小贴士：及时还款，不要拖欠，理性消费，量入而出，身份证件，切勿外借。>>详细

小发羊破大案！雪糕刺客算什么，这些“高科技”才是坑！

请广大公众理性看待区块链、NFT项目及虚拟货币，不要盲目相信天花乱坠的承诺，树立正确的货币观念和投资理念,学习反诈知识，切实增强风险意识。>>详细

银联云生态合作伙伴大会圆满举办 CFCA专家畅谈安全新策略

整体治理模型采用横向分层、纵向分域的原则，从各个层级及过程的不同关注点出发，按照治理层、管理层、控制层的关注内容进行设计，通过数据安全治理，实现数据的价值，真正保障大数据时代的数据资源在安全可控的条件下得到最大化利用。>>详细

腾讯安全副总裁黎巍：多变的业态下需要更加普适性的监管科技底座

随着“数实融合”的深入发展，各行业、各机构面临的风险敞口不断加大，数字技术的广泛应用，引发了潜在的新型基础设施安全、数据安全、金融科技安全、数字产业链安全、网络市场安全等一系列新型安全问题。>>详细

网上购物诈骗陷阱！你知道吗？

网络诈骗手段多，屏蔽拒绝是王道，陌生语音要留心，扫码支付要当心，官方确认最重要，安心省心更放心。>>详细

小郑说消保|拒绝“贷款黑中介”

近年来，“贷款黑中介”不断“改进”诈骗手段，通过五花八门的“服务”，抓住部分消费者“省钱占便宜”的心理，设置了形形色色的圈套。>>详细

关注电子银行安全 防范电信诈骗

在任何情况下，银行、司法、税务等单位不会向您索要电子银行登录密码及动态口令。不要轻信以任何名义要求办理手机银行或通过手机银行划转资金的来电或短信，任何问你要密码的都是骗子。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年6月20日-26日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞383个，其中高危漏洞149个、中危漏洞202个、低危漏洞32个。漏洞平均分值为6.03。上周收录的漏洞中，涉及0day漏洞290个（占76%），其中互联网上出现“WordPress WP Contacts Manager SQL注入漏洞、Jfinal CMS SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Acrobat Reader是一款PDF查看器。Adobe Reader是一套PDF文档阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：多款Adobe产品资源管理错误漏洞（CNVD-2022-46965、CNVD-2022-46966、CNVD-2022-46971、CNVD-2022-46970、CNVD-2022-46972、CNVD-2022-46977、CNVD-2022-46976、CNVD-2022-46975）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限升级，文件选择器中的远程持续拒绝服务等。

CNVD收录的相关漏洞包括：Google Android缓冲区溢出漏洞（CNVD-2022-46292、CNVD-2022-46298、CNVD-2022-46301、CNVD-2022-46294、CNVD-2022-46293）、Google Android拒绝服务漏洞（CNVD-2022-46296、CNVD-2022-46290）、Google Android越界写入漏洞（CNVD-2022-46299）。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Planning Analytics是美国IBM公司的一套业务规划分析解决方案。该方案支持自动化执行业务规划、预算和分析等流程。IBM Security Identity Manager（ISIM）是一套身份管理和治理解决方案。IBM UrbanCode Deploy（UCD）是一套应用自动化部署工具。IBM Security Guardium是一套提供数据保护功能的平台。IBM System Storage DS8000 Hardware Management Console是一个IBM存储介质平台DS8000的硬件管理控制台。IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和关系的软件。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，上传任意可执行文件，导致代码执行，造成拒绝服务等。

CNVD收录的相关漏洞包括：IBM Planning Analytics任意文件上传漏洞、IBM Security Identity Manager缓冲区溢出漏洞（CNVD-2022-46305）、IBM UrbanCode Deploy权限提升漏洞（CNVD-2022-46304）、IBM Security Guardium信息泄露漏洞（CNVD-2022-46310）、IBM Planning Analytics服务端请求伪造漏洞、IBM System Storage DS8000 Hardware Management Console信息泄露漏洞、IBM Sterling B2B Integrator跨站请求伪造漏洞(CNVD-2022-46459)、IBM Aspera High-Speed Transfer信息泄露漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Embedded Wireless Controller是美国思科（Cisco）公司的一个无线接入器。Cisco SD-WAN vManage Software是一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。Cisco Virtualized Infrastructure Manager是一个完全自动化的云生命周期管理系统。Cisco Wireless LAN Controller（WLC）是一款无线局域网控制器产品。Cisco SD-WAN vManage Software是一款用于SD-WAN（软件定义广域网络）解决方案的管理软件。Cisco Catalyst Digital Building Series Switches是一系列数字楼宇交换机。Cisco Iox是一个结合了Cisco IOS和Linux OS用于安全网络连接以及开发IOT应用的安全开发环境。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致设备重新加载，以受影响用户的权限级别执行任意操作，访问机密信息并提升受影响设备的权限等。

CNVD收录的相关漏洞包括：Cisco Embedded Wireless Controller拒绝服务漏洞、Cisco SD-WAN vManage Software跨站请求伪造漏洞、Cisco Virtualized Infrastructure Manager访问控制错误漏洞、Cisco Wireless LAN Controller身份验证绕过漏洞、Cisco SD-WAN vManage Software信息泄露漏洞（CNVD-2022-46480）、Cisco Catalyst Digital Building Series Switches and Cisco Catalyst Micro Switches拒绝服务漏洞、Cisco Iox路径遍历漏洞、Cisco Iox拒绝服务漏洞。其中，“Cisco Embedded Wireless Controller拒绝服务漏洞、Cisco Wireless LAN Controller身份验证绕过漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

WordPress Domain Replace plugin跨站脚本漏洞

WordPress和WordPress plugin都是WordPress基金会的产品。WordPress是一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站。WordPress plugin是一个应用插件。上周，WordPress Domain Replace plugin被披露存在跨站脚本漏洞。攻击者可利用该漏洞导致反射跨站点脚本攻击。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外，Google、IBM、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，上传任意可执行文件，导致代码执行，拒绝服务，本地权限升级等。另外，WordPress Domain Replace plugin被披露存在跨站脚本漏洞。攻击者可利用漏洞导致反射跨站点脚本攻击。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、网信中国、每日经济新闻、广发银行、浦发银行、郑州银行、杭州银行微讯、江西银行报道

责任编辑：韩希宇