国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞475个，互联网上出现“BaijiaCMS任意文件上传漏洞、WUZHI CMS SQL注入漏洞（CNVD-2022-59014）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

如何识别金融骗局？央行赠防诈小贴士：“一看二问三查四不要”

根据人民银行两年一次的消费者金融素养问卷调查的结果，我国消费者金融素养水平稳步提升，消费者金融素养指数从2017年的63.71、2019年的64.77提升到2021年的66.81。>>详细

反诈有信，幸福相伴｜玩网游要当心，虚假交易盯上你！

贪小便宜吃大亏，装备买卖要谨慎，账号代练不轻信，虚假链接不能进，支付密码要管好，家中宝宝多教导。>>详细

【金教基地】谨防投资理财骗局，提高风险防范意识

面对标榜“专业指导”“高额回报” “稳赚不赔”等网络投资理财推销，要保持清醒头脑，千万不要冲动跟随。>>详细

骗子亲述：办理信用卡提额，怎么成了一场骗局？

信用卡的初始额度是由银行根据用户申请时提供的个人信息综合决定的。但在日常生活中，很多人都会出现信用卡不够用的情况，便花很多时间和心血寻找养卡提额的方法。>>详细

守住“诚信兴商”底线，不碰“出口骗税”红线

做好自营出口业务管理，切勿在未实质参与出口经营活动中，轻信并接受他人介绍的出口业务。>>详细

鲤想金融小课堂：防范养老诈骗

如今网络信息发达，老年朋友们也慢慢走进网络世界，但由于对信息分辨能力不够，面对各类“量身打造”的骗局，更容易落入骗子圈套。>>详细

好险！常熟农商银行巧识骗局，保住储户养老钱

小燕温馨提醒：谨记“九字真言”，不轻信、不透露、不转账，保管好个人信息及财产安全！>>详细

金融知识普及月：警惕借贷广告，建立理性消费观

在生活类APP上大肆推广借贷产品，不仅容易让有借款需求的消费者掉进高利网贷陷阱，也容易让没有还款能力的消费者被诱导使用借款服务，轻则偿还高额利息，重则影响个人征信。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年8月22日-28日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞475个，其中高危漏洞179个、中危漏洞244个、低危漏洞52个。漏洞平均分值为6.17。本周收录的漏洞中，涉及0day漏洞307个（占65%），其中互联网上出现“BaijiaCMS任意文件上传漏洞、WUZHI CMS SQL注入漏洞（CNVD-2022-59014）”等零日代码攻击漏洞。

本周重要漏洞安全告警 

Fortinet产品安全漏洞

Fortinet FortiSandbox是美国飞塔（Fortinet）公司的一款APT（高级持续性威胁）防护设备。该设备提供双重沙盒技术、动态威胁智能系统、实时控制面板和报告等功能。Fortinet FortiManager是一套集中化网络安全管理平台。该平台支持集中管理任意数量的Fortinet设备，并能够将设备分组到不同的管理域（ADOM）进一步简化多设备安全部署与管理。Fortinet FortiAnalyzer是一套集中式网络安全报告解决方案。该产品主要用于收集网络日志数据，并通过报告套件对日志中的安全事件、网络流量、Web内容等进行分析、报告、归档操作。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞向应用程序发送特别设计的请求，并在目标系统上执行任意代码，执行非法SQL语句，使设备进入无响应状态等。

CNVD收录的相关漏洞包括：Fortinet FortiManager访问控制错误漏洞（CNVD-2022-58487）、Fortinet FortiManager和Fortinet FortiAnalyzer环境问题漏洞、Fortinet FortiManager和Fortinet FortiAnalyzer服务器端请求伪造漏洞、Fortinet FortiSandbox缓冲区溢出漏洞、Fortinet FortiSandbox SQL注入漏洞、Fortinet FortiSandbox和Fortinet FortiAuthenticator拒绝服务漏洞、Fortinet FortiSandbox操作系统命令注入漏洞、Fortinet FortiSandbox跨站脚本漏洞。其中，“Fortinet FortiSandbox和Fortinet FortiAuthenticator拒绝服务漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Business One是德国思爱普（SAP）公司的一套企业管理软件。该软件包括财务管理、运营管理和人力资源管理等功能。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过认证过程，访问敏感信息，执行任意命令等。

CNVD收录的相关漏洞包括：SAP Business One CSV注入漏洞、SAP Business One信息泄露漏洞（CNVD-2022-58472）、SAP Business One SQL注入漏洞、SAP Business One路径遍历漏洞、SAP Business One输入验证错误漏洞、SAP Business One权限许可和访问控制问题漏洞、SAP Business One授权问题漏洞、SAP Business One代码问题漏洞。其中，“SAP Business One权限许可和访问控制问题漏洞、SAP Business One CSV注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。Adobe Framemaker是一套用于编写和编辑大型或复杂文档（包括结构化文档）的页面排版软件。Adobe Illustrator是一套基于向量的图像制作软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码，导致内存泄漏等。

CNVD收录的相关漏洞包括：Adobe Acrobat Reader资源管理错误漏洞（CNVD-2022-58460）、Adobe Acrobat Reader缓冲区溢出漏洞（CNVD-2022-58464、CNVD-2022-58463）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2022-58462、CNVD-2022-58461）、Adobe FrameMaker缓冲区溢出漏洞（CNVD-2022-58467、CNVD-2022-58468）、Adobe Illustrator缓冲区溢出漏洞（CNVD-2022-58466）。其中，除“Adobe Acrobat Reader缓冲区溢出漏洞（CNVD-2022-58463）、Adobe Acrobat Reader输入验证错误漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。Microsoft HEVC Video Extensions是一个视频扩展应用程序。该应用使计算机和设备可以读取高效视频编码或HEVC视频。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码。

CNVD收录的相关漏洞包括：Microsoft SharePoint Server远程代码执行漏洞（CNVD-2022-59594）、Microsoft HEVC Video Extensions远程代码执行漏洞（CNVD-2022-59677、CNVD-2022-59676、CNVD-2022-59681、CNVD-2022-59680、CNVD-2022-59679、CNVD-2022-59684、CNVD-2022-59686）。其中，“Microsoft SharePoint Server远程代码执行漏洞（CNVD-2022-59594）、Microsoft HEVC Video Extensions远程代码执行漏洞（CNVD-2022-59686）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-816缓冲区溢出漏洞

D-Link DIR-816是中国台湾友讯（D-Link）公司的一款无线路由器。本周，D-Link DIR-816被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞导致栈溢出进而执行代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

本周，Fortinet产品被披露存在多个漏洞，攻击者可利用漏洞向应用程序发送特别设计的请求，并在目标系统上执行任意代码，执行非法SQL语句，使设备进入无响应状态等。此外，SAP、Adobe、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过认证过程，访问敏感信息，执行任意命令，导致内存泄漏等。另外，D-Link DIR-816被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞导致栈溢出进而执行代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、每日经济新闻、中信银行、晋商银行、桂林银行金融服务、廊坊银行掌上资讯、常熟农商银行、互联网支付安全联盟报道

责任编辑：韩希宇