国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞449个，互联网上出现“Wedding Planner select.php SQL注入漏洞、ShopWind跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

银保监会发布风险提示：警惕贷款中介三大陷阱，低息免费、洗白征信背后往往面临高额收费、贷款骗局

10月14日，银保监会发布风险提示称，贷款市场上，有一些非法中介假冒银行名义，打着正规机构、无抵押、无担保、低息免费、洗白征信等虚假宣传的旗号诱导消费者办理贷款，其实这些诱人条件的背后是高额收费、贷款骗局等套路陷阱。>>详细

【消保】远离诱惑和洗钱陷阱，警惕卷入洗钱犯罪

不法份子借助手机、固定电话、网络等通信工具和网银技术实施的非接触式诈骗犯罪迅速蔓延，给人民群众造成了很大的损失。>>详细

【消保】电销贷款需警惕，漫画教你识诈骗

电销贷款需警惕，多为中介设套路；贷款直接找银行，无需中介手续费。>>详细

【安全课堂】“双11”网购，警惕刷单诈骗！

“双11”期间，诈骗分子常以高薪刷单、高额返现、优惠券等借口实施诈骗。>>详细

【消保以案说险】什么诈骗居然能连续被骗三次？

不要轻信陌生来电、短信，不要点击任何来路不明的贷款链接、广告。>>详细

金融诈骗套路多！如何防范不掉坑？

作为金融消费者，如何分辨渠道、客服、产品、平台真伪？遇到骗局如何维权？央行金融消费权益保护局局长余文建给广大金融消费者总结了一套防金融诈骗的小贴士：“一看、二问、三查、四不要”。>>详细

【消保黔行】高能预警！一大波“双十一诈骗术”正在来袭~

心宝儿分析了“双十一"期间较常出现的诈骗陷阱，希望大家要擦亮双眼，每一笔转账前理智!理智!再理智。>>详细

A仔带你盘一盘，数字证书到底是啥？

做过辣么多网上交易，用过辣么多数字证书，但你真的了解它吗？2分钟，A仔带你盘一盘，数字证书到底是咋回事！>>详细

打着“数字人民币”的幌子，这五种套路要了解

随着网络技术和数字经济蓬勃发展，社会公众对零售支付便捷性、安全性、普惠性、隐私性等方面的需求日益提高，数字人民币支付也正成为消费“新时尚”。>>详细

安全威胁播报

上周漏洞基本情况

上周（2022年10月17日-23日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞449个，其中高危漏洞165个、中危漏洞235个、低危漏洞49个。漏洞平均分值为6.10。上周收录的漏洞中，涉及0day漏洞332个（占74%），其中互联网上出现“Wedding Planner select.php SQL注入漏洞、ShopWind跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警 

SAP产品安全漏洞

SAP NetWeaver AS是德国思爱普（SAP）公司的一款SAP网络应用服务器。它不仅能提供网络服务，且还是SAP软件的基本平台。SAP 3D Visual Enterprise Author是德国思爱普（SAP）公司的一个用于管理2D、3D、动画、视频和音频资产的桌面应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取HTTP请求中的敏感信息，发送具有不同方法类型的多个Http请求，导致拒绝服务等。

CNVD收录的相关漏洞包括：SAP NetWeaver AS for Java拒绝服务漏洞、SAP NetWeaver AS JAVA信息泄露漏洞（CNVD-2022-69287）、SAP 3D Visual Enterprise Author缓冲区溢出漏洞（CNVD-2022-69691、CNVD-2022-69694、CNVD-2022-69693、CNVD-2022-69692、CNVD-2022-69697、CNVD-2022-69696）。其中，“SAP 3D Visual Enterprise Author缓冲区溢出漏洞（CNVD-2022-69691、CNVD-2022-69693）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致程序崩溃，任意代码执行，获得系统上的提升权限等。

CNVD收录的相关漏洞包括：Linux kernel资源管理错误漏洞（CNVD-2022-69188、CNVD-2022-69187、CNVD-2022-69186、CNVD-2022-69189、CNVD-2022-69192、CNVD-2022-69191）、Linux kernel权限提升漏洞（CNVD-2022-69197、CNVD-2022-69204）。其中，“Linux kernel权限提升漏洞（CNVD-2022-69197、CNVD-2022-69204）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台。该软件支持多租户、持久化存储、多机房跨区域数据复制，具有强一致性、高吞吐以及低延时的高可扩展流数据存储特性。Apache IoTDB是美国阿帕奇（Apache）基金会的一款为时间序列数据设计的集成数据管理引擎，它能够提供数据收集、存储和分析服务等。Apache Tapestry是美国阿帕奇（Apache）基金会的一款使用Java语言编写的Web应用程序框架。Apache Dubbo是一款微服务开发框架，它提供了RPC通信与微服务治理两大关键能力。Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。Apache Jetspeed-2是美国阿帕奇（Apache）基金会的一个非常开放和可定制的门户平台。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过Proxy实现中间人攻击，绕过身份验证过程并在特定情况下接管其他Web应用程序用户的帐户，导致拒绝服务(ReDoS)攻击等。

CNVD收录的相关漏洞包括：Apache Pulsar信任管理问题漏洞（CNVD-2022-69470、CNVD-2022-69468）、Apache IoTDB访问控制错误漏洞、Apache IoTDB授权问题漏洞（CNVD-2022-69472）、Apache Tapestry拒绝服务漏洞（CNVD-2022-69475）、Apache Dubbo Hession反序列化漏洞、Apache Tomcat请求混淆漏洞、Apache Jetspeed-2输入验证错误漏洞。其中，除“Apache Pulsar信任管理问题漏洞（CNVD-2022-69470、CNVD-2022-69468）外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows Print Spooler Components是美国微软（Microsoft）公司的一个打印后台处理程序组件。Microsoft Windows Remote Access Connection Manager是美国微软（Microsoft）公司的一项Windows服务，用于管理从您的计算机到Internet的虚拟专用网络 (VPN)连接，如果禁用此服务，VPN客户端应用程序将无法启动。Microsoft Windows Push Notifications是美国微软（Microsoft）公司的一个推送通知服务。它提供了一种可靠的方式提供新的更新。Microsoft Windows Storage Spaces Controller是美国微软（Microsoft）公司的提供存储空间功能的必要驱动程序。Microsoft Windows是美国微软（Microsoft）公司的一种桌面操作系统。Microsoft Windows Remote Procedure Call Runtime是美国微软（Microsoft）公司的一种用于创建分布式客户端/服务器程序的技术。Microsoft Windows Remote Desktop Protocol（RDP）是美国微软（Microsoft）公司的一款用于连接远程Windows桌面的应用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致任意代码执行或权限提升等。

CNVD收录的相关漏洞包括：Microsoft Windows Print Spooler Components权限提升漏洞（CNVD-2022-70056）、Microsoft Windows Remote Access Connection Manager权限提升漏洞（CNVD-2022-70059）、Microsoft Windows Push Notifications权限提升漏洞、Microsoft Windows Storage Spaces Controller权限提升漏洞（CNVD-2022-70064、CNVD-2022-70065）、Microsoft Windows Server Service信息泄露漏洞、Microsoft Windows Remote Procedure Call Runtime远程代码执行漏洞、Microsoft Windows Remote Desktop Protocol信息泄露漏洞（CNVD-2022-70061）。其中，“Microsoft Windows Print Spooler Components权限提升漏洞（CNVD-2022-70056）、Microsoft Windows Storage Spaces Controller权限提升漏洞（CNVD-2022-70065）”漏洞的综合评级为“高危”目前，厂商已经发布了上述漏洞的修补程序。

Schneider Electric Easergy P5缓冲区溢出漏洞

Schneider Electric Easergy P5是法国施耐德电气（Schneider Electric）公司的一款适用于要求苛刻的中压应用的保护继电器。上周，Schneider Electric Easergy P5被披露存在缓冲区溢出漏洞。攻击者可以利用该漏洞在系统上执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，SAP产品被披露存在多个漏洞，攻击者可利用漏洞获取HTTP请求中的敏感信息，发送具有不同方法类型的多个Http请求，导致拒绝服务等。此外，Linux、Apache、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞导致程序崩溃，任意代码执行，通过Proxy实现中间人攻击，绕过身份验证过程并在特定情况下接管其他Web应用程序用户的帐户，导致拒绝服务(ReDoS)攻击等。另外，Schneider Electric Easergy P5被披露存在缓冲区溢出漏洞。攻击者可利用漏洞在系统上执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、每日经济新闻、中国建设银行、浦发银行、北京银行微银行、贵州银行、桂林银行金融服务报道

责任编辑：韩希宇