国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞511个，互联网上出现“Online Exam System Master.php文件SQL注入漏洞、Judging Management System SQL注入漏洞（CNVD-2023-48485）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

守住“钱袋子”｜远离“高利诱惑” 拒绝非法集资

非法集资是指未经国务院金融管理部门依法许可或者违反国家金融管理规定，以许诺还本付息或者给予其他投资回报等方式，向不特定对象吸收资金的行为。>>详细

金融防骗小贴士丨如何防范非法集资

遇到相关投资集资类宣传，一定要避免头脑发热，先征求家人和朋友的意见，拖延一晚再决定。不要盲目相信造势宣传、熟人介绍、专家推荐，不要被高利诱惑盲目投资。>>详细

守住“钱袋子”｜一图读懂《银行保险机构消费者权益保护管理办法》

《银行保险机构消费者权益保护管理办法》，自2023年3月1日起正式施行。>>详细

保护金融消费者权益，建设银行做了这些事儿

运用数字技术，打造集知识性、趣味性、互动性于一体的线上金融教育平台，以游戏互动、答题学习、消保微电影等百姓喜闻乐见形式持续吸引客户参与活动，常态化陪伴百姓成长。>>详细

为他人虚拟货币交易转账汇款？当心，可能触犯帮信罪

一起了解关于虚拟货币的那些事，别迷迷糊糊犯了错。>>详细

小郑说消保 | 远离非法“代理维权”

消费者应当理性维权，对因自身问题导致的债务问题、征信问题，应当通过守法守规的渠道去反映、去解决，而非“病急乱投医”，通过一些非法手段去处理。>>详细

消保小课堂丨普及金融知识，守护钱袋子

一般的电子红包点击就能领取，不需要填写个人信息。索要个人信息的红包不要抢！>>详细

中国科学技术大学张卫明教授：做好科普，让大众了解深度伪造技术的存在，预防传统电诈的手段就能有效预防AI诈骗

以前都说“有图有真相”“有视频有真相”……但自AI换脸工具出现后，这就要打一个大大的问号了。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年6月12日-18日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞511个，其中高危漏洞268个、中危漏洞214个、低危漏洞29个。漏洞平均分值为6.65。上周收录的漏洞中，涉及0day漏洞420个（占82%），其中互联网上出现“Online Exam System Master.php文件SQL注入漏洞、Judging Management System SQL注入漏洞（CNVD-2023-48485）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码或导致应用程序崩溃。

CNVD收录的相关漏洞包括：Google Chrome类型混肴漏洞、Google Chrome Extensions组件内存错误引用漏洞、Google Chrome PDF组件内存错误引用漏洞（CNVD-2023-46113、CNVD-2023-46115、CNVD-2023-46110）、Google Chrome V8组件代码执行漏洞（CNVD-2023-46117、CNVD-2023-46116）、Google Chrome Mojo组件代码执行漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在未经授权的情况下执行管理命令，导致用户崩溃或提升系统权限等。

CNVD收录的相关漏洞包括：Linux kernel命令执行漏洞、Linux kernel ntfs_set_ea越界读取漏洞、Linux kernel缓冲区溢出漏洞（CNVD-2023-48543）、Linux kernel资源管理错误漏洞（CNVD-2023-48542、CNVD-2023-48540、CNVD-2023-48546、CNVD-2023-48545）、Linux kernel数字错误漏洞（CNVD-2023-48544）。其中，“Linux kernel资源管理错误漏洞（CNVD-2023-48542、CNVD-2023-48540）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。上周，上述产品被披露存在URL重定向漏洞，攻击者可利用漏洞将用户重定向到恶意网站。

CNVD收录的相关漏洞包括：Adobe Experience Manager URL重定向漏洞（CNVD-2023-45904、CNVD-2023-45903、CNVD-2023-45901、CNVD-2023-45906、CNVD-2023-45905、CNVD-2023-45909、CNVD-2023-45908、CNVD-2023-45907）。目前，厂商已经发布了上述漏洞的修补程序。

Juniper Networks产品安全漏洞

Juniper Networks Junos OS是美国瞻博网络（Juniper Networks）公司的一套专用于该公司的硬件设备的网络操作系统。该操作系统提供了安全编程接口和Junos SDK。Juniper Networks Junos OS Evolved是美国瞻博网络（Juniper Networks）公司的Junos OS的升级版系统。Juniper Networks Paragon Active Assurance是美国瞻博网络（Juniper Networks）公司的一种可编程的测试和服务保证解决方案。使用基于软件和流量生成的测试代理，可作为SaaS解决方案从云中轻松使用和交付，或在NFV环境中本地部署。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过控制台访问控制，将潜在的恶意文件复制到本地系统上的现有Docker容器中，随后管理员可能会无意中启动Docker容器，导致恶意文件以root身份执行等。

CNVD收录的相关漏洞包括：Juniper Networks Junos OS访问控制错误漏洞（CNVD-2023-48478）、Juniper Networks Junos OS Evolved权限提升漏洞、Juniper Networks Junos OS资源管理错误漏洞（CNVD-2023-48482、CNVD-2023-49464）、Juniper Networks Junos OS输入验证错误漏洞（CNVD-2023-48481）、Juniper Networks Junos OS拒绝服务漏洞（CNVD-2023-49463）、Juniper Networks Junos OS bbe-smgd拒绝服务漏洞、Juniper Networks Paragon Active Assurance跨站脚本漏洞。其中，“Juniper Networks Junos OS访问控制错误漏洞（CNVD-2023-48478）、Juniper Networks Paragon Active Assurance跨站脚本漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TP-Link Archer VR1600V命令注入漏洞

TP-Link Archer VR1600V是中国普联（TP-LINK）公司的一款无线调制解调器。上周，TP-Link Archer VR1600V被披露存在命令注入漏洞。攻击者可利用该漏洞以管理员用户身份通过“X_TP_IfName”参数打开操作系统级shell。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码或导致应用程序崩溃。此外，Linux、Adobe、Juniper Networks等多款产品被披露存在多个漏洞，攻击者可利用漏洞在未经授权的情况下执行管理命令，导致用户崩溃或提升系统权限等。另外，TP-Link Archer VR1600V被披露存在命令注入漏洞。攻击者可利用该漏洞以管理员用户身份通过“X_TP_IfName”参数打开操作系统级shell。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、每日经济新闻、中国银行、今日建行、兴业银行、郑州银行、蒙商银行报道

责任编辑：韩希宇