国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞298个，互联网上出现“Tenda RX9 Pro setIPv6Status缓冲区溢出漏洞、Bento4拒绝服务漏洞（CNVD-2023-27653）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【防骗】警惕“降低贷款利率”诈骗！

陌生来电勿轻信，自称客服要警惕，扫码调利是骗局，个人信息要保密。>>详细

【警惕】教您识破钓鱼网站诈骗套路！

钓鱼网站诈骗套路千变万化，莫慌，小招喵今天来出招，带您识破钓鱼网络诈骗手法！>>详细

关于调整网络安全专用产品安全管理有关事项的公告

具备资格的机构是指列入《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》的机构。>>详细

反诈手记 | 小茄子解密骗局背后的故事，让骗子无处遁形

诈骗手段日益更新，资金转移方式五花八门，我们要提高防范意识，识破骗子的层层圈套，让我们和小茄子一起，守护好自己的钱袋子。>>详细

以案说险，守护老年人资金安全

浦浦发发提醒老年消费者：投资理财“高收益”，血本无归是结局。要树立理性投资理财观念，谨记投资是有风险的，警惕各类标榜“低风险、高回报”的投资理财项目，切莫受高收益诱惑而冲动投资。>>详细

连续成功司法打击，打黑这件事平安是认真的

平安银行秉持“专业创造价值”理念和对非法“代理维权”黑产绝不妥协的态度，积极开展打击金融黑产工作。>>详细

【小河讲反洗钱】警惕演唱会“黄牛”陷阱

不通过正规平台交易，以各种理由要你反复付款，退款还要提交保证金的，绝对是骗子。>>详细

【知识】反诈拒赌，教您如何防范电信诈骗！

陌生信息不轻信，陌生链接不点击，陌生软件不安装，陌生WiF不连接。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年4月10日-16日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞298个，其中高危漏洞446个，其中高危漏洞243个、中危漏洞173个、低危漏洞30个。漏洞平均分值为6.53。上周收录的漏洞中，涉及0day漏洞391个（占88%），其中互联网上出现“Tenda RX9 Pro setIPv6Status缓冲区溢出漏洞、Bento4拒绝服务漏洞（CNVD-2023-27653）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Dimension是美国奥多比（Adobe）公司的是一套2D和3D合成设计工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。

CNVD收录的相关漏洞包括：Adobe Dimension越界读取漏洞（CNVD-2023-25103、CNVD-2023-25105、CNVD-2023-25106、CNVD-2023-27689）、Adobe Dimension堆缓冲区溢出漏洞（CNVD-2023-25104、CNVD-2023-25109、CNVD-2023-25112、CNVD-2023-25111）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限。

CNVD收录的相关漏洞包括：Google Android越界读取漏洞（CNVD-2023-26065）、Google Android信息泄露漏洞（CNVD-2023-26071）、Google Android权限提升漏洞（CNVD-2023-26069、CNVD-2023-26070、CNVD-2023-26072、CNVD-2023-26073、CNVD-2023-26074、CNVD-2023-26078）。其中，除“Google Android信息泄露漏洞（CNVD-2023-26071）、Google Android权限提升漏洞（CNVD-2023-26078）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache OpenOffice是美国阿帕奇（Apache）基金会的一款开源的办公软件套件。该套件包含文本文档、电子表格、演示文稿、绘图、数据库等。Apache UIMA DUCC是美国阿帕奇（Apache）基金会的一套集群管理系统。该系统提供工具，管理和调度工具。Apache InLong是美国阿帕奇（Apache）基金会的一站式的海量数据集成框架。Apache Sling是美国阿帕奇（Apache）基金会的一个Java平台的开源Web框架。旨在在符合JSR-170的内容存储库（例如Apache Jackrabbi）上创建以内容为中心的应用程序。Apache Kerby是美国阿帕奇（Apache）基金会的一个Java Kerberos绑定。提供了丰富、直观和可互操作的实现、库、KDC和各种设施，可根据现代环境（如云、Hadoop 和移动）的需要集成PKI、OTP和令牌（OAuth2）。Apache Dubbo是美国阿帕奇（Apache）基金会的一款基Jav的轻量级RPC（远程过程调用）框架。该产品提供了基于接口的远程呼叫、容错和负载平衡以及自动服务注册和发现等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码等。

CNVD收录的相关漏洞包括：Apache OpenOffice代码执行漏洞（CNVD-2023-25931）、Apache OpenOffice代码问题漏洞、Apache UIMA DUCC命令注入漏洞、Apache Sling JNDI注入漏洞、Apache Kerby LDAP注入漏洞、Apache Dubbo代码问题漏洞（CNVD-2023-25935）、Apache InLong反序列化漏洞（CNVD-2023-25936、CNVD-2023-25934）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit PDF Reader是中国福昕（Foxit）公司的一款PDF阅读器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在当前进程的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Foxit PDF Reader缓冲区溢出漏洞（CNVD-2023-25114）、Foxit PDF Reader资源管理错误漏洞（CNVD-2023-25118、CNVD-2023-25117、CNVD-2023-25116、CNVD-2023-25121、CNVD-2023-25120、CNVD-2023-25119、CNVD-2023-25122）。其中，除“Foxit PDF Reader缓冲区溢出漏洞（CNVD-2023-25114）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link DIR-846命令执行漏洞（CNVD-2023-27681）

D-Link DIR-846是中国友讯（D-Link）公司的一款无线路由器。上周，D-Link DIR-846被披露存在命令执行漏洞，攻击者可利用该漏洞在系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞执行任意代码。此外，Google、Apache、Foxit等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，执行任意代码等。另外，D-Link DIR-846被披露存在命令执行漏洞，攻击者可利用该漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国网信网、中国建设银行、招商银行、浦发银行、平安银行、财富光大、河北银行、江西辖内农商银行微银行报道

责任编辑：韩希宇