国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞346个，互联网上出现“Zettlr输入验证错误漏洞、WordPress Transposh WordPress Translation SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

新年伊始，兴业银行举行全行消费者权益保护工作会议

深入践行“以人民为中心”的发展思想，把做好消保工作作为底线要求、高质量发展的必由之路，从大局着眼，于细微处发力，把人民时时放在心上，真正落实“真诚服务 相伴成长”“共同兴业”理念，不断推动消保工作迈上新台阶，为全行高质量发展提供坚实保障。>>详细

请查收！新市民金融防骗小贴士

办理贷款请选择正规金融机构，不应轻信来路不明的电话及网络贷款营销信息，正规金融机构不会在办理贷款过程中收取费用，需要“提前支付费用”才能办理贷款的情形就是骗局。>>详细

【防骗指南】年关将至，如何识别和防范线上贷款诈骗风险？

蓬勃发展的数字金融，在为大众提供便捷金融服务的同时，也成为诈骗案件滋生的温床。近年来，线上贷款诈骗呈现案件频发、手法多样的特点，要怎样做才能不落入诈骗分子精心打造的“虚假贷款”陷阱内？>>详细

【以案说险】诈骗“粉墨登场”，年底严加提防

不管是什么诈骗方法，不管常见还是新鲜，记住一句话：一切违背常规的都是有问题的！>>详细

【金融安全】临近年末，谨防新型电信诈骗

电信网络诈骗手段不断升级翻新，编造的很多诈骗理由也是紧跟热点，一旦遭遇了类似诈骗手段，记住“不转账”才是硬道理。>>详细

云证通放大招，让大额转账更安全、更便捷！

廊坊银行与中国金融认证中心（CFCA）合作，接入CFCA云证通签名服务平台，为银行数字化创新提供服务支撑，帮助银行打造兼顾安全性与用户体验的移动金融产品。>>详细

涨知识|防范用卡风险，保障用卡安全

信用卡作为便捷的金融支付工具，日益受到广大消费者青睐，因此，用卡安全日益备受重视，在此提醒广大持卡人，不要将信用卡出租、出借或交由他人保管，以免造成损失。>>详细

CFCA开放平台能力输出范本——互联PDF保障企业文档安全

中国金融认证中心（CFCA）开放平台提供企业可控文档协同平台解决方案，可以助力各行业个人、企业、机构等解决企业文档在安全、管理和控制等方面面临的难题。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年1月2日-8日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞346个，其中高危漏洞112个、中危漏洞208个、低危漏洞26个。漏洞平均分值为6.15。上周收录的漏洞中，涉及0day漏洞290个（占84%），其中互联网上出现“Zettlr输入验证错误漏洞、WordPress Transposh WordPress Translation SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM AIX是美国国际商业机器（IBM）公司的一款为IBM Power体系架构开发的一种基于开放标准的UNIX操作系统。IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行从网站信任的用户传输的恶意和未经授权的操作，通过AIX SMB客户端实现拒绝服务等。

CNVD收录的相关漏洞包括：IBM AIX拒绝服务漏洞（CNVD-2023-00804、CNVD-2023-00807、CNVD-2023-00806、CNVD-2023-00805、CNVD-2023-00810、CNVD-2023-00809、CNVD-2023-00808）、IBM DB2跨站请求伪造漏洞（CNVD-2023-00813）。其中，“IBM AIX权限提升漏洞（CNVD-2023-00805）、IBM DB2跨站请求伪造漏洞（CNVD-2023-00813）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。Google Pixel是美国谷歌（Google）公司的一款智能手机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，获得提升的权限，远程执行任意代码等。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-01051）、Google Pixel缓冲区溢出漏洞（CNVD-2023-01493、CNVD-2023-01492、CNVD-2023-01491、CNVD-2023-01490、CNVD-2023-01494、CNVD-2023-01499、CNVD-2023-01498）。其中，“Google Android权限提升漏洞（CNVD-2023-01051）、Google Pixel缓冲区溢出漏洞（CNVD-2023-01492、CNVD-2023-01490）” 的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei ws7200-10是中国华为（HUAWEI）公司的一款无线路由器。Huawei CV81-WDM FW是中国华为（Huawei）公司的一款激光多功能打印机。Huawei EMUI是一款基于Android开发的移动端操作系统。Huawei Magic UI是一个智能设备操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过暴力破解获取密码，可能导致系统敏感信息泄露，获得打印机的最高权限，导致服务异常等。

CNVD收录的相关漏洞包括：Huawei WS7200-10访问控制错误漏洞、Huawei CV81-WDM FW输入验证不足漏洞、Huawei CV81-WDM FW命令注入漏洞、Huawei CV81-WDM FW输入校验漏洞（CNVD-2023-01056、CNVD-2023-01060）、Huawei EMUI和Magic UI拒绝服务漏洞（CNVD-2023-01057）、Huawei EMUI和Huawei Magic UI越界写入漏洞、Huawei EMUI和Magic UI越界写入漏洞（CNVD-2023-01059）。其中，除“Huawei WS7200-10访问控制错误漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。上周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞在浏览器上下文中执行恶意JavaScript。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2023-00009、CNVD-2023-00605、CNVD-2023-00604、CNVD-2023-00603、CNVD-2023-00608、CNVD-2023-00607、CNVD-2023-00606、CNVD-2023-00611）。目前，厂商已经发布了上述漏洞的修补程序。

Tenda i22缓冲区溢出漏洞

Tenda i22是中国腾达（Tenda）公司的一款无线接入点。上周，Tenda i22被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞提交特殊的请求，可以在系统上下文执行任意代码或者使应用程序崩溃。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞执行从网站信任的用户传输的恶意和未经授权的操作，通过AIX SMB客户端实现拒绝服务等。此外，Google、Huawei、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，获得提升的权限，远程执行任意代码等。另外，Tenda i22被披露存在缓冲区溢出漏洞。攻击者可利用漏洞提交特殊的请求，可以在系统上下文执行任意代码或者使应用程序崩溃。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国邮政储蓄银行、兴业银行、浦发银行、河北银行、贵州银行、广东农信报道

责任编辑：韩希宇