国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞369个，互联网上出现“JFinalCMS目录遍历漏洞、WordPress Leyka plugin跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

瞄准睡眠账户 银行开启新一轮清卡行动

多家银行表示，此举是为有效防范电信网络新型违法犯罪，保障客户的账户与资金安全和合法权益。>>详细

农业银行全面开展“五进入”金融消费者权益保护教育宣传活动

农业银行紧紧围绕“汇聚金融力量，共创美好生活”主题，积极开展进乡村、进社区、进校园、进企业、进商圈教育宣传活动，着力提高人民群众的获得感、幸福感、安全感，以实际行动践行以人民为中心的发展理念。>>详细

笃行金融为民理念 交行开展“金融消费者权益保护教育宣传月”活动

38家省直分行及所有分支机构、信用卡中心，以及交银理财、交银人寿、交银基金等子公司精心部署、有效联动、密切配合，以精心筹备的宣传内容和多元化的活动形式向社会公众传播有益的金融知识。>>详细

“技防+人防”共筑金融反诈防火墙 中信银行切实保护金融消费者权益

近年来，中信银行积极践行“金融为民”理念，通过“技防+人防”相结合，深层次筑牢金融反诈防火墙，切实保护金融消费者权益，有力保障了客户资金安全。>>详细

汇聚金融力量 坚持人民至上 光大银行开展“五进入”集中教育宣传活动

以“责任消保、文化消保、智慧消保”为特色，“金融教育和利民惠民”为主线，围绕“新小老乡”等群体，创新宣传形式，普及金融知识，传递光大力量。>>详细

安全课堂 | 假期出行，谨防“机票退改签”诈骗！

涉及付款时，不法分子往往会引导乘客通过输入验证码、转账的方式实施诈骗，遇到转账要求应马上拒绝，切勿提供自己的银行卡号、短信验证码等信息。>>详细

金融知识普及月丨电信诈骗防范知识，您需要知道！

对接到培训通知、冒充银行、公检法机构等声称银行卡升级和虚假招工、婚介类的诈骗，要及时向本地的相关单位和行业或亲临其办公地点进行咨询、核对，不要轻信陌生电话和信息。>>详细

【2023年金融消费者权益保护教育宣传月】小心“积分清零”圈套

诈骗分子用伪装的号码，向受害人发送带有钓鱼链接的短信，谎称“回馈用户积分可兑换精美礼品”，诱使受害人进入钓鱼网站输入身份证号、银行卡号、验证码等个人信息。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年9月18日-24日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞369个，其中高危漏洞145个、中危漏洞205个、低危漏洞19个。漏洞平均分值为6.30。上周收录的漏洞中，涉及0day漏洞306个（占83%），其中互联网上出现“JFinalCMS目录遍历漏洞、WordPress Leyka plugin跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Siemens产品安全漏洞

Siemens QMS Automotive是德国西门子（Siemens）公司的一个汽车行业的质量管理系统。Siemens Tecnomatix Plant Simulation是工控设备，利用离散事件仿真进行生产量分析和优化，进而改善制造系统性能。Siemens Solid Edge是一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问数据库，篡改应用程序代码，上传恶意文件，在当前进程的上下文中执行代码等。

CNVD收录的相关漏洞包括：Siemens QMS Automotive访问控制错误漏洞、Siemens QMS Automotive代码问题漏洞、Siemens QMS Automotive信息泄露漏洞（CNVD-2023-71222）、Siemens QMS Automotive数据伪造问题漏洞、Siemens Tecnomatix Plant Simulation缓冲区溢出漏洞、Siemens Solid Edge内存错误引用漏洞（CNVD-2023-71238）、Siemens Tecnomatix Plant Simulation越界写入漏洞（CNVD-2023-71239、CNVD-2023-71240）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个基于微内核的全场景分布式操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过授权并获得访问权限，发送特制的请求，导致拒绝服务等。

CNVD收录的相关漏洞包括：Huawei HarmonyOS安全限制绕过漏洞（CNVD-2023-70288、CNVD-2023-70287、CNVD-2023-70286）、Huawei HarmonyOS权限提升漏洞（CNVD-2023-70290）、Huawei HarmonyOS拒绝服务漏洞（CNVD-2023-70294、CNVD-2023-70293、CNVD-2023-70292、CNVD-2023-70285）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Superset是一款由Python语言为主开发的开源时髦数据探索分析以及可视化的报表平台，支持丰富的数据源，且拥有多姿多彩的可视化图表选择。Apache Axis是一个开源、基于XML的Web服务架构。该产品包含了Java和C++语言实现的SOAP服务器，以及各种公用服务及API，以生成和部署Web服务应用。Apache InLong是一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache Airflow是一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache RocketMQ是一款轻量级的数据处理平台和消息传递引擎。Apache Jena是一个Java语义网框架。用于构建语义Web和链接数据应用程序。Apache Shiro是一套用于执行认证、授权、加密和会话管理的Java安全框架。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过当前逻辑读取任意文件，获取敏感信息，通过连接传递参数实施远程代码执行攻击，从而获取服务器权限等。

CNVD收录的相关漏洞包括：Apache Superset未授权访问漏洞、Apache Axis输入验证错误漏洞、Apache InLong反序列化漏洞（CNVD-2023-70280）、Apache Airflow访问控制错误漏洞（CNVD-2023-70279）、Apache Airflow输入验证错误漏洞（CNVD-2023-70278）、Apache RocketMQ代码注入漏洞、Apache Jena代码执行漏洞、Apache Shiro路径遍历漏洞。其中，除“Apache Superset未授权访问漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升，获取系统上的高级权限。

CNVD收录的相关漏洞包括：Linux kernel权限提升漏洞（CNVD-2023-70080、CNVD-2023-70079、CNVD-2023-70083、CNVD-2023-70082、CNVD-2023-70081、CNVD-2023-70086、CNVD-2023-70085、CNVD-2023-70084）。目前，厂商已经发布了上述漏洞的修补程序。

ASUS RT-AX55命令注入漏洞

ASUS RT-AX55是中国华硕（ASUS）公司的一款双频Wi-Fi路由器。上周，ASUS RT-AX55被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Siemens产品被披露存在多个漏洞，攻击者可利用漏洞访问数据库，篡改应用程序代码，上传恶意文件，在当前进程的上下文中执行代码等。此外，Huawei、Apache、Linux等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过当前逻辑读取任意文件，获取敏感信息，发送特制的请求，导致拒绝服务，本地权限提升等。另外，ASUS RT-AX55被披露存在命令注入漏洞。攻击者可利用该漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国证券报、和讯网、中国农业银行、交通银行、北京银行微银行、宁夏银行、泉州银行报道

责任编辑：韩希宇