国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞439个，互联网上出现“Prison Management System SQL注入漏洞（CNVD-2022-48389）、Sourcecodester Hospital Patient Records Management System SQL注入漏洞（CNVD-2022-48745）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

金融知识万里行 交行全力守护百姓“钱袋子”

6月以来，交通银行积极开展“普及金融知识 守住‘钱袋子’”及“银行业普及金融知识万里行”宣传活动，提高消费者金融素养及金融诈骗防范意识。>>详细

【反诈】浦发银行与你携手，反诈拒赌守护“钱袋子”！

近年来随着网络技术不断发达，不法分子的电信诈骗手段也在加速迭代变化，面对眼花缭乱的虚假骗局和防不胜防的重重套路，浦浦发发将带领大家了解新型诈骗方式。>>详细

数据资源海量化、多样化、层级复杂，金融业如何直击数据安全治理痛点？

在当前复杂的数据安全问题和积极的政策指导环境下，金融数据安全同时面临着巨大的风险挑战和前所未有的发展机遇。>>详细

防诈贴士 | “征信修复”缺诚信 切勿侥幸上圈套

交通银行信用卡中心梳理典型案例，揭秘“征信修复”骗局，提醒消费者在重视个人信用记录维护的同时，切勿因侥幸心理误入“征信修复”骗局，避免产生不必要的损失。>>详细

CFCA开放平台能力输出范本——电子律师函助力金融机构把好贷后管理关

平台已聚合服务器证书、金信反欺诈、网络身份认证平台、安心签、易企存等服务能力，可为律师事务所等法律服务行业主体赋能。>>详细

消保小卫士｜小心落入“低利率”陷阱

有贷款需求的消费者，在面对“低利率”、“免息期”这些五花八门门的营销话术时，一定要擦亮双眼，树立理性消费观，警惕背后隐藏的风险或陷阱。>>详细

苏说消保微课堂丨银行卡使用小知识和风险提示

银行卡是安全、快捷的支付介质。商业银行和银联已经采取各种技术手段和安全措施，最大限度保障持卡人资金安全。>>详细

【消保以案说险】一次价值20万元的通话......

沃德天……什么样的通话能价值20万?你不要不相信，这就是发生在大家身边的案例，擦亮双眼，看看是什么情况……>>详细

说案丨拆解各色“杀猪盘”：骗人钱财只需三步

捋一捋理财投资中这类“掠财无数”大型骗局的套路。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年6月27日-7月3日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞439个，其中高危漏洞176个、中危漏洞211个、低危漏洞52个。漏洞平均分值为6.13。上周收录的漏洞中，涉及0day漏洞322个（占73%），其中互联网上出现“Prison Management System SQL注入漏洞（CNVD-2022-48389）、Sourcecodester Hospital Patient Records Management System SQL注入漏洞（CNVD-2022-48745）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Huawei产品安全漏洞

Huawei CV81-WDM FW是中国华为（Huawei）公司的一款激光多功能打印机。 HUAWEI HarmonyOS是中国华为（HUAWEI）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。HUAWEI EMUI and Magic UI是中国华为（HUAWEI）公司的一款基于Android开发的移动端操作系统。Huawei FLMG-10是中国华为（Huawei）公司的一款高端蓝牙遥控音箱。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取系统机密，导致拒绝服务，权限提升等。

CNVD收录的相关漏洞包括：Huawei CV81-WDM FW拒绝服务漏洞、HUAWEI HarmonyOS代码问题漏洞（CNVD-2022-47648、CNVD-2022-47651）、HUAWEI EMUI and Magic UI信息泄露漏洞、HUAWEI HarmonyOS资源管理错误漏洞（CNVD-2022-47652）、HUAWEI HarmonyOS缓冲区溢出漏洞（CNVD-2022-47650）、Huawei FLMG-10授权问题漏洞、Huawei CV81-WDM FW缓冲区溢出漏洞。其中，除“HUAWEI HarmonyOS代码问题漏洞（CNVD-2022-47648、CNVD-2022-47651）、HUAWEI EMUI and Magic UI信息泄露漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限升级。

CNVD收录的相关漏洞包括：Google Android缓冲区溢出漏洞（CNVD-2022-47668、CNVD-2022-47674、CNVD-2022-47673、CNVD-2022-47675）、Google Android权限提升漏洞（CNVD-2022-47670、CNVD-2022-47672、CNVD-2022-47680）、Google Android权限许可和访问控制问题漏洞（CNVD-2022-47677）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe Bridge是美国奥多比（Adobe）公司的一款文件查看器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe InDesign越界写入漏洞（CNVD-2022-48769、CNVD-2022-48767、CNVD-2022-48770、CNVD-2022-48781、CNVD-2022-48780）、Adobe InDesign堆缓冲区溢出漏洞、Adobe Bridge越界写入漏洞（CNVD-2022-48774、CNVD-2022-48778）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Fortinet产品安全漏洞

Fortinet FortiEDR是美国Fortinet公司的一个从头开始构建的端点安全解决方案。Fortinet FortiWan是美国Fortinet公司的一个网络设备。用于在不同网络之间执行负载平衡和容错。Fortinet FortiClient是美国Fortinet公司的一种结构代理。用于在单个模块化轻量级客户端中提供保护、合规性和安全访问。Fortinet FortiManager是一套集中化网络安全管理平台。Fortinet FortiAnalyzer是一套集中式网络安全报告解决方案。Fortinet FortiPortal是FortiGate、FortiWiFi和FortiAP产品线的高级、功能丰富的托管安全分析和管理支持工具，可作为虚拟机供MSP使用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞伪装和伪造来自其他收集器的消息，从同一部署中的端点禁用和卸载收集器，借助特制的HTTP请求执行未经授权的代码或命令等。

CNVD收录的相关漏洞包括：Fortinet FortiEDR信任管理问题漏洞（CNVD-2022-47976、CNVD-2022-47977）、Fortinet FortiWAN SQL注入漏洞、Fortinet FortiWAN加密问题漏洞、Fortinet FortiClient for Linux信息泄露漏洞、Fortinet多款产品操作系统命令注入漏洞、Fortinet FortiWAN操作系统命令注入漏洞、Fortinet FortiWAN缓冲区溢出漏洞。其中，“Fortinet FortiWAN SQL注入漏洞、Fortinet多款产品操作系统命令注入漏洞、Fortinet FortiWAN操作系统命令注入漏洞、Fortinet FortiWAN缓冲区溢出漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

多款TotoLink产品命令注入漏洞（CNVD-2022-47973）

Totolink A830R/A3100R/A950RG/A800R/A3000RU/A810R等产品都是中国Totolink公司的路由器。上周，多款TotoLink产品被披露存在命令注入漏洞。攻击者可利用该漏洞通过精心制作的请求执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Huawei产品被披露存在多个漏洞，攻击者可利用漏洞获取系统机密，导致拒绝服务，权限提升等。此外，Google、Adobe、Fortinet等多款产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限升级，伪装和伪造来自其他收集器的消息，从同一部署中的端点禁用和卸载收集器，借助特制的HTTP请求执行未经授权的代码或命令等。另外，多款TotoLink产品被披露存在命令注入漏洞。攻击者可利用漏洞通过精心制作的请求执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、新华网、21世纪经济报道、交通银行、浦发银行、江苏银行、深圳农商银行、桂林银行金融服务报道

责任编辑：韩希宇