国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞366个，互联网上出现“Online Travel Agency System跨站脚本漏洞、XXL-JOB跨站请求伪造漏洞（CNVD-2023-67068）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

联接创造价值，安全惠及民生 中国银联参加第十届国家网络安全宣传周

以“网络安全为人民，网络安全靠人民”为主题的2023年国家网络安全宣传周活动在福州市开幕，中国银联以“联接创造价值，安全惠及民生”为主题，连续第十年参展。>>详细

国家网络安全宣传周上海站开幕 网络安全走向“以数据为核心”

9月11日下午，2023年国家网络安全宣传周上海地区活动在上海市青浦区拉开帷幕。>>详细

开学季，这组防诈公式快牢记

转账汇款多核实，高额佣金存套路，租借两卡要远离，屏幕共享需提防。>>详细

企业手机U宝，免Key转账真方便！

民生银行企业手机银行重磅推出了“企业手机U宝"功能，客户手机设备安装"手机U宝"以后可直接用于各类交易场景身份认证，不再需要随身携带实物U宝，十分便捷。>>详细

广发银行积极参加2023年国家网络安全宣传周活动

近年来，广发银行积极践行“以人民为中心”的发展思想，切实履行社会责任，筑牢网络安全底线，助力“平安中国”建设。>>详细

张健华：建议明确金融黑灰产认定标准 提升消费者权益保护质效

金融黑灰产可能对金融机构形成声誉风险、监管合规风险和资产损失风险，客户利益也将受到一定损失，建议有关部门对金融黑灰产进行标准界定，提升消费者权益保护质效。>>详细

【知识】一图读懂移动金融客户端应用软件安全管理规范

资金交易类客户端应用软件应符合资金交易、信息保护等所有技术及管理安全要求。>>详细

【以案说险】警惕养老诈骗，守护您的“钱袋子”

面对各类养老诈骗骗术，老年人一定要保持清醒的头脑，不贪图小利，不轻信他人，凡是涉及投资、中奖、贷款等事项，要及时与亲人朋友商量，切忌盲目做决定；日常生活中要注意妥善保管自己的个人信息，不向他人透露。>>详细

【金融知识进乡村】银行卡勿转借，当心成为“帮凶”

一些诈骗分子以金钱为诱饵，引导受害人将其银行卡出租出借，继而使用银行卡进行电信网络诈骗或其他违法犯罪行为。大家一定要提高警惕，妥善保管银行卡，切勿贪图小便宜！>>详细

网络安全 亿联在行动

2023年9月11日至17日是2023年国家网络安全宣传周。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年9月4日-10日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞366个，其中高危漏洞159个、中危漏洞200个、低危漏洞7个。漏洞平均分值为6.65。上周收录的漏洞中，涉及0day漏洞274个（占75%），其中互联网上出现“Online Travel Agency System跨站脚本漏洞、XXL-JOB跨站请求伪造漏洞（CNVD-2023-67068）”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM Security Guardium是美国国际商业机器（IBM）公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过发送特制的HTTP请求来枚举用户名，发送特制请求在系统上执行任意命令等。

CNVD收录的相关漏洞包括：IBM Security Guardium信息泄露漏洞（CNVD-2023-66732）、IBM Security Guardium SQL注入漏洞（CNVD-2023-66731）、IBM Security Guardium跨站脚本漏洞（CNVD-2023-66735、CNVD-2023-66734、CNVD-2023-66733）、IBM Security Guardium命令执行漏洞（CNVD-2023-66738、CNVD-2023-66736）、IBM Security Guardium身份验证错误漏洞。其中，“IBM Security Guardium命令执行漏洞（CNVD-2023-66738、CNVD-2023-66736）、IBM Security Guardium身份验证错误漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，在系统上执行任意代码或导致应用程序崩溃等。

CNVD收录的相关漏洞包括：Google Chrome代码执行漏洞（CNVD-2023-67083）、Google Chrome FedCM安全绕过漏洞、Google Chrome navigation安全绕过漏洞（CNVD-2023-67085）、Google Chrome WebShare安全绕过漏洞、Google Chrome Accessibility信息泄露漏洞、Google Chrome Browser History缓冲区溢出漏洞、Google Chrome Vulkan代码执行漏洞、Google Chrome Intents安全绕过漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache ShardingSphere是美国阿帕奇（Apache）基金会的一套开源的分布式数据库中间件解决方案。Apache Traffic Server（ATS）是美国阿帕奇（Apache）基金会的一套可扩展的HTTP代理和缓存服务器。Apache EventMesh是美国阿帕奇（Apache）基金会的新一代无服务器事件中间件，用于构建分布式事件驱动应用程序。Apache Pulsar是美国阿帕奇（Apache）基金会的一个用于云环境种，集消息、存储、轻量化函数式计算为一体的分布式消息流平台。该软件支持多租户、持久化存储、多机房跨区域数据复制，具有强一致性、高吞吐以及低延时的高可扩展流数据存储特性。Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。Apache Accumulo是美国阿帕奇（Apache）基金会的一个可靠的、可伸缩的、高性能的排序分布式的Key-Value存储应用。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，通过无效的Range标头导致崩溃，通过构建特殊的YAML配置文件来执行任意代码等。

CNVD收录的相关漏洞包括：Apache Airflow输入验证错误漏洞（CNVD-2023-67067）、Apache ShardingSphere反序列化漏洞、Apache Airflow授权问题漏洞（CNVD-2023-67070）、Apache Traffic Server输入验证错误漏洞（CNVD-2023-67069）、Apache EventMesh反序列化漏洞、Apache Pulsar信息泄露漏洞、Apache Tomcat信息泄露漏洞（CNVD-2023-67080）、Apache Accumulo授权问题漏洞。其中，除“Apache Pulsar信息泄露漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。Mozilla Firefox ESR是火狐浏览器(企业版)。Mozilla Thunderbird是美国Mozilla基金会的一套从Mozilla Application Suite独立出来的电子邮件客户端软件。该软件支持IMAP、POP邮件协议以及HTML邮件格式。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从此文件夹中读取文件并获得对潜在敏感信息的访问权限，导致程序崩溃，任意代码执行等。

CNVD收录的相关漏洞包括：Mozilla Firefox and Firefox ESR缓冲区溢出漏洞、Mozilla Firefox内存错误引用漏洞（CNVD-2023-68209） 、Mozilla Firefox访问控制错误漏洞（CNVD-2023-68217）、Mozilla Firefox输入验证错误漏洞（CNVD-2023-68216）、Mozilla Firefox内存破坏漏洞（CNVD-2023-68215）、Mozilla Thunderbird和Firefox任意代码执行漏洞、Mozilla Thunderbird资源管理错误漏洞（CNVD-2023-68219）、Mozilla Firefox资源管理错误漏洞（CNVD-2023-68218）。上述漏洞的综合评级为“高危”。

tenda AC6缓冲区溢出漏洞（CNVD-2023-68221）

Tenda AC6是中国腾达（Tenda）公司的一款无线路由器。上周，Tenda AC6被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞通过发送特制的HTTP请求来枚举用户名，发送特制请求在系统上执行任意命令等。此外，Google、Apache、Mozilla等多款产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，通过无效的Range标头导致崩溃，通过构建特殊的YAML配置文件来执行任意代码等。另外，Tenda AC6被披露存在缓冲区溢出漏洞。攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务攻击。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、新华网、第一财经、中国证券报·中证网、中信银行微生活、民生银行对公线上银行、秦皇岛银行、贵州银行、桂林银行金融服务、亿联银行报道

责任编辑：韩希宇