国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞347个，互联网上出现“SourceCodester Bank Management System SQL注入漏洞、Social Codia SMS任意文件上传漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【金融科普】信用卡安全用卡篇

信用卡仅限本人使用。应妥善保管卡片及密码，不要出租或外借他人使用，避免造成经济损失。>>详细

金融知识普及月｜识破非法集资四大风险点，老年人守好自己“钱袋子”安全

广东某保险机构提醒广大老年人注意，应着力提升防范非法集资的意识和能力，维护好自身的合法权益，守好自己的“钱袋子”安全。>>详细

“反诈小剧场”番剧更新！擦亮双眼，守护资金安全！

骗子骗钱手段多，资金转移方式五花八门，光大er努力练就火眼金睛，守护小伙伴们的资金安全，让骗子无处遁形！>>详细

【金融科普】诱骗泄露个人信息需警惕！

陌生网址不要点！陌生信息不要回！有事找工行！官方客服帮您忙！>>详细

鲤想金融小课堂：电信诈骗常见套路

寻找兼职要通过正规渠道进行，需要交纳定金或先行垫付资金的工作，务必要谨慎对待。>>详细

【金融知识普及】以案说险

出借自己的银行卡会涉及洗钱，出借信用卡会涉及妨害信用卡管理进而承担刑事责任。所以千万不要出借出售自己的银行卡! >>详细

后疫情时代 CFCA引领多领域云端协同签名加密新实践

银企云不依靠企业部署硬件设备来维护密钥和签名安全，而是通过采用密钥分散技术和协同签名技术，以软件平台形式保证了密钥安全和业务信息安全传输。>>详细

【金融知识普及】老年人“七”注意

老年人，要谨记，遇到事，多问问，避免上当，损失钱财。专业人员要看清，正规机构才靠谱。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年9月12日-18日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞347个，其中高危漏洞146个、中危漏洞151个、低危漏洞50个。漏洞平均分值为6.02。上周收录的漏洞中，涉及0day漏洞236个（占68%），其中互联网上出现“SourceCodester Bank Management System SQL注入漏洞、Social Codia SMS任意文件上传漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Samsung产品安全漏洞

Samsung SMR是韩国三星（Samsung）公司的一个系统补丁包。提供了三星手机应用的补丁程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞启动某些活动，进行越界写入，执行代码等。

CNVD收录的相关漏洞包括：Samsung SMR输入验证错误漏洞（CNVD-2022-63630、CNVD-2022-63647）、Samsung SMR缓冲区溢出漏洞（CNVD-2022-63652）、Samsung SMR堆缓冲区溢出漏洞（CNVD-2022-63631、CNVD-2022-63655、CNVD-2022-63658、CNVD-2022-63656、CNVD-2022-63659）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Spectrum Scale是美国IBM公司的一套基于IBM GPFS（专为PB级存储管理而优化的企业文件管理系统）的可扩展的数据及文件管理解决方案。该产品支持帮助客户减少存储成本，同时提高云、大数据和分析环境中的安全性和管理效率等。IBM i是一套运行在IBM Power Systems和IBM PureSystems中的操作系统。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM Sterling Secure Proxy是一个用于确保组织非保护区(DMZ)中文件安全传输的应用程序代理。IBM Security Identity Governance and Intelligence（IGI）是的一套身份治理解决方案。该产品包括生命周期管理、访问风险评估和身份认证管理等功能。IBM Robotic Process Automation是一种机器人流程自动化产品。可帮助您以传统 RPA 的轻松和速度大规模自动化更多业务和IT流程。IBM InfoSphere Information Server是一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行未授权访问，在URL参数中获取敏感信息，导致拒绝服务，执行任意命令等。

CNVD收录的相关漏洞包括：IBM i SQL注入漏洞（CNVD-2022-63180）、IBM Aspera访问控制错误漏洞、IBM Sterling Secure Proxy信任管理问题漏洞、IBM Security Identity Governance and Intelligence信息泄露漏洞（CNVD-2022-63183）、IBM Robotic Process Automation SQL注入漏洞、IBM InfoSphere Information Server命令执行漏洞、IBM Sterling External Authentication Server和IBM Sterling Secure Proxy拒绝服务漏洞、IBM Spectrum Scale加密问题漏洞（CNVD-2022-63371）。其中，“IBM Robotic Process Automation SQL注入漏洞、IBM InfoSphere Information Server命令执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Parasolid是一种3D几何建模工具，支持各种技术，包括实体建模、直接编辑和自由曲面/片材建模。Simcenter Femap是一种高级仿真应用程序，用于创建、编辑和检查复杂产品或系统的有限元模型。上周，上述产品被披露存在越界写入漏洞，攻击者可利用漏洞在当前进程的上下文中执行代码。

CNVD收录的相关漏洞包括：Siemens Simcenter Femap and Parasolid越界写入漏洞（CNVD-2022-62982、CNVD-2022-62980、CNVD-2022-62979、CNVD-2022-62985、CNVD-2022-62984、CNVD-2022-62983、CNVD-2022-62986、CNVD-2022-62990）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Adaptive Server Enterprise（ASE）是德国思爱普（SAP）公司的一款关系型数据库服务器。SAP Cloud Connector是一款用于连接SAP云平台的连接器。SAP NetWeaver Application Server是一款应用程序服务器。SAP Mobile Platform是用于构建和部署移动app的便于用户连接的平台。SAP NetWeaver是一套面向服务的集成化应用平台。该平台可为SAP应用提供开发和运行环境。SAP Enterprise Portal是一个应用软件。一个综合性的集成和应用程序平台，可促进跨组织和技术边界的人员、信息和业务流程的一致性。SAP SAPCAR是一款用于压缩和/或解压缩SAP存档文件的实用程序。SAP Focused Run是一个数据中心和大客户系统运维管理方案(高容量监控，警报，诊断和分析的终极解决方案)。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过证书认证，通过路径遍历进行代码注入从而访问文件或目录，在客户端执行JavaScript代码，将自己的权限提升为本地Unix系统上的root权限等。

CNVD收录的相关漏洞包括：SAP Adaptive Server Enterprise权限提升漏洞、SAP Cloud Connector信任管理问题漏洞、SAP Cloud Connector路径遍历漏洞、SAP NetWeaver Application Server跨站脚本漏洞（CNVD-2022-63625）、SAP Mobile Platform SDK资源管理错误漏洞、SAP NetWeaver Enterprise Portal跨站脚本漏洞（CNVD-2022-63628）、SAP SAPCAR存在输入验证错误漏洞、SAP Focused Run访问控制错误漏洞。其中，“SAP Adaptive Server Enterprise权限提升漏洞、SAP SAPCAR存在输入验证错误漏洞、SAP Focused Run访问控制错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda AX12跨站请求伪造漏洞（CNVD-2022-63551）

Tenda AX12是中国腾达（Tenda）公司的一款双频千兆Wifi 6无线路由器。上周，Tenda AX12 V22.03.01.21_CN被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Samsung产品被披露存在多个漏洞，攻击者可利用漏洞启动某些活动，进行越界写入，执行代码等。此外，IBM、Siemens、SAP等多款产品被披露存在多个漏洞，攻击者可利用漏洞进行未授权访问，绕过证书认证，导致拒绝服务，执行任意命令等。另外，Tenda AX12 V22.03.01.21_CN被披露存在跨站请求伪造漏洞。攻击者可利用该漏洞伪造恶意请求诱骗受害者点击执行敏感操作。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、中国工商银行、财富光大、廊坊银行、泉州银行报道

责任编辑：韩希宇