国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞351个，互联网上出现“MonikaBrzica scm SQL注入漏洞、Open5GS拒绝服务漏洞（CNVD-2023-08774）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

人民银行召开2023年金融消费权益保护工作会议

做好金融消费权益保护各项工作，要深刻理解金融消费权益保护工作在中国式现代化新征程中的角色和定位。>>详细

中国银联发布2022年移动支付安全大调查研究报告

此次大调查活动是中国银联践行“支付为民”理念的具体举措之一，也是连续第十六年跟踪消费者移动支付使用情况。>>详细

2022年“金融密码杯”全国密码应用和技术创新大赛颁奖活动在苏州举行

大赛由人民银行数字货币研究所和清华大学密码理论与技术研究中心联合主办，中国密码学会、苏州市人民政府支持，苏州市相城区人民政府承办，分“挑战赛”和“创新赛”两条赛道。>>详细

中国银行山西省分行：筑牢金融反诈“防火墙”

中国银行山西省分行持续加大技防投入，形成“技防＋人防＋制度防”的立体防范体系，努力实现风险早识别、早发现、早处置，切实维护好人民群众的合法权益。>>详细

【消保】提高安全防范意识保护个人金融信息

重要卡片勿转借，财产信息要保密，凭条单据慎处理，金融业务忌委托。>>详细

省钱省力也省心，靠谱的电子劳动合同这样签！

平台由昆山农商银行提供金融级安全验证，由CFCA提供电子认证、无纸化电子签章等技术支持，助力企业解决在人力资源管理中面临的传统纸质合同签署成本高、风险高、效率低等问题。>>详细

反诈|警惕网络校园贷诈骗，莫负青春债！

大学生应当主动学习有关金融方面的消费知识，提高对各种形式“校园贷”陷阱的辨别能力和自我保护能力，对借贷机构广告宣传中的“免费”“优惠”“打折”等内容要多留个心眼，增强防范意识。>>详细

【以案说险】养老理财要了解，盲目投资有风险

很多非法集资会打着养老理财产品的幌子进行非法集资等违法行为，因此老年人要远离“高利息、高回报、高分红”的养老产品和养老机构的宣传，不要盲目听信业务推销人员的推销言辞。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年2月13日-19日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞351个，其中高危漏洞144个、中危漏洞174个、低危漏洞33个。漏洞平均分值为6.15。上周收录的漏洞中，涉及0day漏洞240个（占68%），其中互联网上出现“MonikaBrzica scm SQL注入漏洞、Open5GS拒绝服务漏洞（CNVD-2023-08774）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致信息泄露，应用程序拒绝服务，在当前用户的上下文中任意执行代码等。

CNVD收录的相关漏洞包括：Adobe ColdFusion缓冲区溢出漏洞、Adobe ColdFusion路径遍历漏洞（CNVD-2023-08751、CNVD-2023-08754）、Adobe ColdFusion信任管理问题漏洞、Adobe ColdFusion信息泄露漏洞、Adobe ColdFusion输入验证错误漏洞、Adobe ColdFusion XML外部实体注入漏洞（CNVD-2023-08756、CNVD-2023-08757）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

DELL产品安全漏洞

Dell BIOS是美国戴尔（Dell）公司的一个计算机主板上小型内存芯片上的嵌入式软件。Dell Container Storage Modules是一组模块。旨在提供超出容器存储可用功能的附加功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过操纵SMI导致SMM期间的任意写入，使用SMI获取SMRAM中的任意代码执行等 。

CNVD收录的相关漏洞包括：Dell BIOS缓冲区溢出漏洞（CNVD-2023-08761、CNVD-2023-08760、CNVD-2023-08766）、Dell BIOS输入验证错误漏洞（CNVD-2023-08764、CNVD-2023-08763、CNVD-2023-08762、CNVD-2023-08765）、Dell Container Storage Modules操作系统命令注入漏洞（CNVD-2023-08770）。其中，除“Dell BIOS输入验证错误漏洞（CNVD-2023-08763）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，在系统上执行任意代码或导致拒绝服务等。

CNVD收录的相关漏洞包括：Google Chrome Live Caption代码执行漏洞、Google Chrome Sign-In代码执行漏洞、Google Chrome安全绕过漏洞（CNVD-2023-08259、CNVD-2023-08260、CNVD-2023-08261、CNVD-2023-08277、CNVD-2023-08278、CNVD-2023-08256）。其中，除“Google Chrome安全绕过漏洞（CNVD-2023-08259、CNVD-2023-08261、CNVD-2023-08277、CNVD-2023-08278）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务中间件，它提供了一个现代轻型开发平台，支持应用从开发到生产的整个生命周期管理，并简化了应用的部署和管理。Oracle E-Business Suite（电子商务套件）是一套全面集成式的全球业务管理软件。该软件提供了客户关系管理、服务管理、财务管理等功能。Oracle Solaris是一套UNIX操作系统。Oracle MySQL是一套开源的关系数据库管理系统。MySQL Server是其中的一个数据库服务器组件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞对关键数据的未授权访问或对所有Oracle WebLogic Server可访问数据的完全访问，通过多种协议访问网络，从而破坏MySQL Server，并导致MySQL Server挂起或频繁重复崩溃（完全DOS）等。

CNVD收录的相关漏洞包括：Oracle WebLogic Server信息泄露漏洞（CNVD-2023-08438、CNVD-2023-08437、CNVD-2023-08436）、Oracle E-Business Suite信息泄露漏洞（CNVD-2023-08435）、Oracle Solaris拒绝服务漏洞（CNVD-2023-08441、CNVD-2023-08440）、Oracle MySQL Server拒绝服务漏洞（CNVD-2023-08439）、Oracle MySQL Server Options组件拒绝服务漏洞。其中“Oracle WebLogic Server信息泄露漏洞（CNVD-2023-08438、CNVD-2023-08437、CNVD-2023-08436）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM MQ输入验证错误漏洞（CNVD-2023-08771）

IBM MQ（IBM WebSphere MQ）是美国国际商业机器（IBM）公司的一款消息传递中间件产品。该产品主要为面向服务的体系结构（SOA）提供可靠的、经过验证的消息传递主干网。上周，IBM MQ被披露存在输入验证错误漏洞。攻击者可利用该漏洞拒绝MQTT通道的服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞导致信息泄露，应用程序拒绝服务，在当前用户的上下文中任意执行代码等。此外，Dell、Google、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，在系统上执行任意代码或导致拒绝服务，通过操纵SMI导致SMM期间的任意写入，使用SMI获取SMRAM中的任意代码执行。另外，IBM MQ被披露存在输入验证错误漏洞。攻击者可利用该漏洞拒绝MQTT通道的服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、中国银联、中国银行山西省分行、中信银行、河北银行、广东农信报道

责任编辑：韩希宇