国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞337个，互联网上出现“Badaso跨站脚本漏洞、Bento4拒绝服务漏洞（CNVD-2023-66174）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

确诊了！这些诈骗“症状”你中招了吗？

不要轻信“内部渠道”“低价购票”’等信息，以各种理由要你反复付款、缴纳保证金的都是诈骗。>>详细

【反诈】警惕“征信修复”骗局，谨防上当受骗

征信修复和洗白，伪造材料编理由。转账汇款刷流水，收到钱后就失联。按时还款不逾期，关键信息别泄漏。提高警惕防诈骗，中信哨兵冲在前。>>详细

八旬老人险些被骗80万，还好有他们！

兴业银行工作人员凭借专业的研判甄别能力和果断的应急处理技巧成功帮助客户挽回了80余万元资金损失。>>详细

反诈专栏｜机敏警惕巧拦截 警银协作筑防线

切勿在来历不明的网络平台及APP上投资、炒股或进行虚拟币交易。切勿相信网络上的非法引流广告，不盲目听从所谓的“高手”、“专家”、“导师”的指导，摒弃一夜暴富心理。>>详细

金教基地 | 开学季警惕校园网贷

大学生应合理规划日常开支，理性消费，不攀比，不盲从，不炫耀，避免冲动消费。>>详细

这不是一个普通的“电诈受骗人”！杭州银行西兴支行协助公安发现转移非法资金团伙

营业经理排查发现，L某的账户时当月发生了二十余笔交易，交易对手超二十人，交易额超叁佰万元，根据既往经验，高度怀疑该客户交易存在可疑，遂立即报警。>>详细

【消保小讲堂】开学季防诈指南

涉及钱款交易需警惕，收到陌生号码发来的短信，先通过语音通话等方式确认其身份，或主动与校方、老师核实是否确有其事。>>详细

警惕！别让“开学季”变成骗子的“发财季”

要不断学习鉴别技巧，了解常见的诈骗手段和骗术，提高防诈意识和鉴诈能力。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年8月28日-9月3日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞337个，其中高危漏洞130个、中危漏洞186个、低危漏洞21个。漏洞平均分值为6.58。上周收录的漏洞中，涉及0day漏洞212个（占63%），其中互联网上出现“Badaso跨站脚本漏洞、Bento4拒绝服务漏洞（CNVD-2023-66174）”等零日代码攻击漏洞。

上周重要漏洞安全告警

DELL产品安全漏洞

Dell PowerScale OneFS是美国戴尔（Dell）公司的一个操作系统。提供横向扩展NAS的PowerScale OneFS操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，导致拒绝服务，代码执行和信息泄露等。

CNVD收录的相关漏洞包括：Dell PowerScale OneFS保护机制绕过漏洞、Dell PowerScale OneFS信息泄露漏洞（CNVD-2023-65214、CNVD-2023-65223）、Dell PowerScale OneFS权限提升漏洞（CNVD-2023-65220、CNVD-2023-65218、CNVD-2023-65217、CNVD-2023-65221、CNVD-2023-65213）。其中，“Dell PowerScale OneFS保护机制绕过漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过文件访问限制，执行任意代码，导致浏览器关闭等。

CNVD收录的相关漏洞包括：Google Chrome类型混淆漏洞（CNVD-2023-65154）、Google Chrome Skia缓冲区溢出漏洞（CNVD-2023-65153）、Google Chrome Extensions内存错误引用漏洞（CNVD-2023-65152）、Google Chrome数据伪造问题漏洞（CNVD-2023-65156）、Google Chrome输入验证错误漏洞（CNVD-2023-65155、CNVD-2023-65158）、Google Chrome内存错误引用漏洞（CNVD-2023-65163、CNVD-2023-65162）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

SAP产品安全漏洞

SAP Business One是德国思爱普（SAP）公司的一套企业管理软件。该软件包括财务管理、运营管理和人力资源管理等功能。SAP Host Agent是一套支持操作系统监视、数据库监视和系统实例监视等多项生命周期管理任务的代理程序。SAP Supplier Relationship Management（SRM）是一套供应商关系管理解决方案。该产品实现了企业内以及供应商之间采购和购置流程的自动化，并提供发票开具等功能。SAP PowerDesigner是一款数据库设计软件。SAP NetWeaver Process Integration（PI）是一套SAP企业应用程序集成软件，是NetWeaver产品组的一个组件。该组件主要用于内部系统与外部的信息交换。SAP NetWeaver Enterprise Portal是一个SAP NetWeaver的Web前端组件。SAP Solution Manager是一套集系统监控、SAP支持桌面、自助服务、ASAP实施等多个功能为一体的系统管理平台。该平台可以帮助客户建立SAP解决方案的生命周期管理，并提供系统监控、远程支持服务和SAP产品组件升级等功能。SAP NetWeaver是德国思爱普（SAP）公司的一套面向服务的集成化应用平台。该平台主要为SAP应用程序提供开发和运行环境。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞注入恶意脚本或HTML代码，当恶意数据被查看时，可获取敏感信息或劫持用户会话，执行无目标HTTP请求，导致系统受损等。

CNVD收录的相关漏洞包括：SAP Business One信息泄露漏洞（CNVD-2023-65177）、SAP Host Agent信息泄露漏洞（CNVD-2023-65176）、SAP Supplier Relationship Management信息泄露漏洞、SAP PowerDesigner访问控制错误漏洞、SAP NetWeaver Process Integration访问控制错误漏洞（CNVD-2023-65180）、SAP NetWeaver Enterprise Portal跨站脚本漏洞（CNVD-2023-65184）、SAP Solution Manager代码问题漏洞、SAP NetWeaver路径遍历漏洞（CNVD-2023-65181）。其中，“SAP PowerDesigner访问控制错误漏洞、SAP NetWeaver路径遍历漏洞（CNVD-2023-65181）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Trend Micro产品安全漏洞

Trend Micro Apex One是美国趋势科技（Trend Micro）公司的一款终端防护软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞将任意文件上传到管理服务器，从而导致使用系统权限远程执行代码，提升权限，并将任意值写入代理子密钥等。

CNVD收录的相关漏洞包括：Trend Micro Apex One权限提升漏洞（CNVD-2023-65418、CNVD-2023-65417、CNVD-2023-65421、CNVD-2023-65420、CNVD-2023-65419、CNVD-2023-65424）、Trend Micro Apex One访问控制错误漏洞（CNVD-2023-65422）、Trend Micro Apex One路径遍历漏洞。其中，“Trend Micro Apex One路径遍历漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TP-LINK Smart bulb Tapo series L530和Tapo Application信息泄露漏洞

TTP-LINK Smart bulb Tapo是中国普联（TP-LINK）公司的一款智能灯泡。上周，TP-LINK Smart bulb Tapo series L530和Tapo Application被披露存在信息泄露漏洞。攻击者可利用该漏洞通过AES128-CBC功能中的IV组件获取敏感信息。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，DELL产品被披露存在多个漏洞，攻击者可利用漏洞提升权限，导致拒绝服务，代码执行和信息泄露等。此外，Google、SAP、Trend Micro等多款产品被披露存在多个漏洞，攻击者可利用漏洞注入恶意脚本或HTML代码，绕过文件访问限制，提升权限，执行任意代码等。另外，TP-LINK Smart bulb Tapo series L530和Tapo Application被披露存在信息泄露漏洞。攻击者可利用漏洞通过AES128-CBC功能中的IV组件获取敏感信息。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国银联、中信银行、兴业银行、恒丰银行总行、晋商银行、杭州银行微讯、桂林银行金融服务、常熟农商银行报道

责任编辑：韩希宇