国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞548个，互联网上出现“PESCMS跨站请求伪造漏洞（CNVD-2022-56093）、Online Fire Reporting System跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【消保】电信诈骗花样多，如何守护钱袋安全？

接到自称电商、物流客服电话，务必到官方平台进行核实，不明链接切不可随意点击！>>详细

了解以下风险提示 护好您的钱袋子

日在互联网移动支付平台转账汇款时如果出现“风险提醒”页面，就说明当前所支付的账户可能存在风险。>>详细

【速转】7种“银发一族”最易陷入的骗局，千万别信

养老诈骗变化多端、防不胜防，如何快速让老人记住防骗技巧?7个新“成语”为您揭秘“银发一族"最易陷入的几种骗局。>>详细

打工侠vs黑客，掌握这几招，办公网络安全稳了！

牢记五条反黑秘籍，加码办公网络安全。>>详细

安全小课堂 | 买家下单后，发生了不可思议的事！

近来诈骗分子开始将目标锁定那些开网店的店家，还有一些二手货交易平台(如闲鱼、拍拍网等)的卖家，小伙伴们要警惕坏人伪装成"热情买家”并且要求线下交易的情况。>>详细

CFCA安全检测服务 为金融领域人脸识别活体检测算法保驾护航

近年来，CFCA在人工智能、多方安全计算、区块链、联邦学习等领域积极布局，拥有多项金融行业授权资质，参与国家和金融行业技术标准和检测标准的制定，持续加大投入并与产业各方广泛合作，为金融行业提供适用于人脸识别活体检测算法的专业安全检测。>>详细

【防骗】谨防“假利息”变“真贷款”，揭秘大额保险复投骗局

不要轻易将业务交由工作人员一手代办，确需对方代劳时，千万在旁全程“紧盯”。>>详细

【反诈拒赌 支付在行动】关注重点人群，警银协作拦电诈

老年人子女应多学习、了解电信网络诈骗新型手法，多与老年人分享当前犯罪分子典型的作案手段、受骗后的补救措施等内容。>>详细

【以案说险】保护个人信息，防范电信诈骗

要在银行网点或正规渠道下载手机客户端，切勿轻信未经认证的软件市场，或是论坛、短信里的下载链接，不要随意点击。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年8月8日-14日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞548个，其中高危漏洞158个、中危漏洞300个、低危漏洞90个。漏洞平均分值为5.60。上周收录的漏洞中，涉及0day漏洞275个（占50%），其中互联网上出现“PESCMS跨站请求伪造漏洞（CNVD-2022-56093）、Online Fire Reporting System跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM PowerVM VIOS是美国万国商业机器（IBM）的一个位于逻辑分区中的软件。该软件有助于在服务器内的客户端逻辑分区之间共享物理 I/O 资源。IBM Security Verify Information Queue是美国IBM公司的一个集成产品。利用 Kafka 技术和发布/订阅模型来集成 IBM Security 产品之间的数据。IBM Robotic Process Automation是美国IBM公司的一种机器人流程自动化产品。可帮助您以传统 RPA 的轻松和速度大规模自动化更多业务和 IT 流程。IBM QRadar Network Security是美国IBM公司的一个网络安全管理器。用于提供对网络上的活动和用户的更好的可见性和控制，同时使用深度数据包检查、启发式和基于行为的分析来检测和预防高级威胁。IBM Spectrum Protect Operations Center是美国IBM公司的一个为IBM Spectrum Protect环境提供可视化控制的软件。IBM CICS TX Advanced是美国IBM公司的一个综合的、单一的事务运行时包。可以为独立应用程序提供云原生部署模型。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞伪造恶意请求诱骗受害者点击执行敏感操作，可以获得登录访问令牌,篡改系统配置或导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM PowerVM VIOS拒绝服务漏洞、IBM Security Verify Information Queue跨站请求伪造漏洞（CNVD-2022-55633）、IBM Robotic Process Automation访问控制错误漏洞、IBM QRadar Network Security信任管理问题漏洞、IBM QRadar Network Security信息泄露漏洞（CNVD-2022-55637）、IBM Spectrum Protect Operations Center暴力破解漏洞、IBM Robotic Process Automation信息泄露漏洞（CNVD-2022-55663）、IBM CICS TX Advanced访问控制错误漏洞。其中，“IBM PowerVM VIOS拒绝服务漏洞、IBM Spectrum Protect Operations Center暴力破解漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe InCopy是美国Adobe公司的一款用于创作的文本编辑软件。Adobe Acrobat和Adobe Reader都是美国奥多比（Adobe）公司的产品。Adobe Acrobat是一套PDF文件编辑和转换工具。Adobe Reader是一套PDF文档阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过特制数据可以触发超过分配缓冲区末尾的写入，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Adobe InCopy缓冲区溢出漏洞（CNVD-2022-55642、CNVD-2022-55644）、Adobe Acrobat和Adobe Reader资源管理错误漏洞（CNVD-2022-56090、CNVD-2022-56092、CNVD-2022-56258）、Adobe Acrobat和Adobe Reader缓冲区溢出漏洞（CNVD-2022-56132、CNVD-2022-56130、CNVD-2022-56133）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Simcenter STAR-CCM+是一个多物理计算流体动力学（CFD）软件，用于模拟在真实世界条件下运行的产品。SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224工业路由器用于通过移动网络（如GPRS或UMTS）安全远程访问工厂，并具有防火墙的集成安全功能，以防止未经授权的访问，以及VPN来保护数据传输。SCALANCE SC-600设备（SC622-2C、SC632-2C、SC636-2C，SC642-2C、SC646-2C）用于保护受信任的工业网络免受不受信任的网络攻击。它们允许以不同的方式过滤传入和传出网络连接。SCALANCE W-1700产品是基于IEEE 802.11ac标准的无线通信设备。SCALANCE W-700产品是基于IEEE 802.11ax标准的无线通信设备。SCALANCE X switches用于连接工业部件，如可编程逻辑控制器（PLC）或人机接口（HMI）。Siemens Comos是德国西门子（Siemens）公司的一个工厂工程软件解决方案。用于过程工业。Siemens Syngo FastView是德国西门子（Siemens）公司的一个Dicom交换媒体上提供的Dicom 2图像的独立查看器。Teamcenter软件是一个现代化的、适应性强的产品生命周期管理 (PLM) 系统，它通过数字线程将人员和流程跨功能孤岛连接起来，以实现创新。SICAM A8000 RTU（远程终端装置）系列是一个模块化设备系列，适用于所有能源供应领域的远程控制和自动化应用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从组件（如内部网络拓扑或连接的系统）检索调试级别信息，执行远程代码，造成拒绝服务情况等。

CNVD收录的相关漏洞包括：Siemens Teamcenter命令注入漏洞、Siemens Teamcenter拒绝服务漏洞、Siemens SICAM A8000 Web Server Module身份验证绕过漏洞、Siemens Simcenter STAR-CCM+信息泄露漏洞、Siemens SCALANCE产品命令注入漏洞、Siemens Comos代码问题漏洞、Siemens Syngo FastView越界写入漏洞（CNVD-2022-56511、CNVD-2022-56512）。其中，“Siemens Teamcenter命令注入漏洞、Siemens Teamcenter拒绝服务漏洞、Siemens SCALANCE产品命令注入漏洞、Siemens Syngo FastView越界写入漏洞（CNVD-2022-56511、CNVD-2022-56512）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

JetBrains产品安全漏洞

JetBrains TeamCity是捷克JetBrains公司的一套分布式构建管理和持续集成工具。该工具提供持续单元测试、代码质量分析和构建问题分析报告等功能。JetBrains IntelliJ IDEA是捷克Jetbrains公司的一套适用于Java语言的集成开发环境。JetBrains Rider是捷克Jetbrains公司的一套跨平台的.NET集成开发环境（IDE）。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，通过自定义JSON模式中的HTML描述执行本地代码等。

CNVD收录的相关漏洞包括：JetBrains TeamCity日志信息泄露漏洞、JetBrains TeamCity跨站脚本漏洞（CNVD-2022-55670）、JetBrains IntelliJ IDEA代码注入漏洞（CNVD-2022-55675、CNVD-2022-55674、CNVD-2022-55680、CNVD-2022-55681）、JetBrains IntelliJ IDEA跨站脚本漏洞、JetBrains Rider代码注入漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Tenda M3 formMasterMng函数堆栈溢出漏洞

Tenda M3是中国腾达（Tenda）公司的一款门禁控制器。上周，Tenda M3被披露存在函数堆栈溢出漏洞。攻击者可利用该漏洞导致拒绝服务攻击。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞伪造恶意请求诱骗受害者点击执行敏感操作，可以获得登录访问令牌, 篡改系统配置或导致拒绝服务等。此外，Adobe、Siemens、JetBrains等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过特制数据可以触发超过分配缓冲区末尾的写入，在系统上执行任意代码，导致拒绝服务等。另外，Tenda M3被披露存在堆栈溢出漏洞。攻击者可利用该漏洞导致拒绝服务攻击。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国建设银行、中国邮政储蓄银行、中信银行、浦发银行、河北银行、贵阳银行、杭州银行微讯报道

责任编辑：韩希宇