国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞385个，互联网上出现“Fast Food Ordering System SQL注入漏洞、Product Show Room Site SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

金融知识“万里行” | 防范电信网络诈骗 这些要点你要知道

“三不一多”谨遵原则：未知链接不点击，陌生来电不轻信，个人信息不透露，转账汇款多核实。>>详细

【消保小讲堂】守住钱袋子，了解存款保险

根据《存款保险条例》，在规定情形下， 同一存款人在同一家机构的存款本息合计金额在人民币50万元以内，存款保险实行全额偿付。>>详细

App新规下月施行！如何高效开展在线实名认证？

CFCA网络身份认证平台已持续多年高效稳定运营，为多家国有大行、大型企事业单位，多地工商行政管理局及住房公积金管理中心提供在线身份认证服务。>>详细

App用户数据泄露频上热搜 “指尖上的安全”如何守护？

数据安全体系的建立更是一个日积月累，不断完善的过程，如若前期轻易削减安全投入，则会在用户量上升和数据量膨胀的后期引发难以想象的额外成本支出。>>详细

【消保】投资理财好选择，“浦”惠共盈老年专题

很多老年人不会上网，信息相对闭塞，遇到话术高超的理财产品业务员，很容易被忽悠。因此，做出投资决策前要和子女、家人多沟通交流，请他们利用网络等媒介对所投项目进行调查，一定要了解投资的是什么、投资过程中有 哪些风险及所投公司的历史背景。>>详细

防骗|又出新招数？高仿账号诈骗教你来辨别！

“好友”求助要谨慎，“官方”账号细辨别，擦亮双眼，让高仿账号无处遁形~>>详细

【消保以案说险】非法代理维权骗局

各位消费者应树立正确的金融消费观念，量入为出，理性借贷。发生金融纠纷时，可先与金融机构积极协商，金融机构和监管部门都设有畅通的投诉受理渠道，一定要通过正规渠道反映诉求，依法合理维权。>>详细

第三方平台理财销售已被禁、有偿荐股多为骗局 微信公众平台严禁这四大金融类营销行为

针对欺诈、不实、误导、无资质四方面金融类营销宣传行为，微信公众平台运营中心今日发布《关于金融类违规营销内容的规范》。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年7月4日-7月10日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞385个，其中高危漏洞107个、中危漏洞236个、低危漏洞42个。漏洞平均分值为5.90。上周收录的漏洞中，涉及0day漏洞279个（占72%），其中互联网上出现“Fast Food Ordering System SQL注入漏洞、Product Show Room Site SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Bridge是美国奥多比（Adobe）公司的一款文件查看器。Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe InCopy是美国Adobe公司的一款用于创作的文本编辑软件。Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe Bridge越界写入漏洞（CNVD-2022-50224）、Adobe InDesign堆缓冲区溢出漏洞（CNVD-2022-50228）、Adobe InCopy越界写入漏洞（CNVD-2022-50232、CNVD-2022-50231、CNVD-2022-50230）、Adobe Animate越界写入漏洞（CNVD-2022-50234）、Adobe Photoshop越界写入漏洞（CNVD-2022-50238、CNVD-2022-50239）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Cognos Controller是美国IBM公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM Security Verify Access（ISAM）是美国IBM公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT 和云技术等平台安全简单的访问。IBM App Connect Enterprise是美国IBM公司的一个操作系统。IBM App Connect Enterprise将现有业界信任的IBM Integration Bus技术与IBM App Connect Professional以及新的云本机技术进行了组合，提供一个可满足现代数字企业全面集成需求的平台。IBM Sterling Partner Engagement Manager是美国IBM公司的一个自动化管理工具。IBM AIX是美国IBM公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息或可能更改某些信息，导致拒绝服务攻击等。

CNVD收录的相关漏洞包括：IBM Cognos Controller授权问题漏洞（CNVD-2022-48940、CNVD-2022-48941）、IBM Security Verify Access输入验证错误漏洞、IBM App Connect Enterprise Certified Container拒绝服务漏洞、IBM Sterling Partner Engagement Manager信息泄露漏洞、IBM AIX拒绝服务漏洞（CNVD-2022-48944、CNVD-2022-48943、CNVD-2022-48942）。其中，“IBM Cognos Controller授权问题漏洞（CNVD-2022-48940、CNVD-2022-48941）、IBM AIX拒绝服务漏洞（CNVD-2022-48944）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码。

CNVD收录的相关漏洞包括：Google Chrome WebRTC远程代码执行漏洞、Google Android权限提升漏洞（CNVD-2022-50272、CNVD-2022-50271、CNVD-2022-50276、CNVD-2022-50274、CNVD-2022-50273）、Google Android信息泄露漏洞（CNVD-2022-50275、CNVD-2022-50278）。其中，“Google Chrome WebRTC远程代码执行漏洞、Google Android权限提升漏洞（CNVD-2022-50272、CNVD-2022-50274）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco Unified Communications Manager（CUCM，Unified CM，CallManager）是美国思科（Cisco）公司的一款统一通信系统中的呼叫处理组件。Unified Communications Manager Session Management Edition是Unified Communications Manager的会话管理版。Cisco Unity Connection是一套语音留言平台。该平台可利用语音命令，以免提方式拨打电话或收听留言。Cisco AppDynamics Controller是美国思科（Cisco）公司的通过跨高度分布式应用程序环境的精确跟踪和分析来监控和分析全栈数据。Cisco Smart Software Manager On-Prem是一款用于Cisco产品许可证管理的组件。Cisco Smart Software Manager是一个为用于提供许可证智能管理功能的软件。该软件消除了繁琐的产品激活密钥（PAK）和许可证文件管理，使许可证节点不再锁定到设备，可以支持任何兼容的设备上使用许可证。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞读取主机上的任意文件，获取敏感信息，并在易受攻击的用户浏览器中执行任意HTML和脚本代码，造成拒绝服务等。

CNVD收录的相关漏洞包括：Cisco Unified Communications Manager任意文件读取漏洞（CNVD-2022-50625、CNVD-2022-50631）、Cisco Unified Communications Manager跨站脚本漏洞（CNVD-2022-50628、CNVD-2022-50630）、Cisco Unified Communications Manager和Cisco Unity Connection信息泄露漏洞、Cisco Unified Communications Manager访问控制错误漏洞、Cisco AppDynamics Controller授权问题漏洞、Cisco Smart Software Manager On-Prem和Cisco Smart Software Manager资源管理错误漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Jenkins Agent Server Parameter Plugin跨站脚本漏洞（CNVD-2022-49787）

Jenkins和Jenkins Plugin都是Jenkins开源的产品。Jenkins是一个应用软件。一个开源自动化服务器Jenkins提供了数百个插件来支持构建，部署和自动化任何项目。Jenkins Plugin是一个应用软件。上周，Jenkins Agent Server Parameter Plugin被披露存在跨站脚本漏洞。该漏洞源于未在显示参数的视图上对Agent Server参数的名称和描述进行转义，攻击者可利用该漏洞在客户端执行JavaScript代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外，IBM、Google、Cisco等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，读取主机上的任意文件，获取敏感信息，执行任意代码，导致拒绝服务攻击等。另外，Jenkins Agent Server Parameter Plugin被披露存在跨站脚本漏洞。攻击者可利用该漏洞在客户端执行JavaScript代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、证券日报、财联社、中国银行、浦发银行、广东农信、桂林银行金融服务报道

责任编辑：韩希宇