国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞562个，互联网上出现“WBCE CMS任意文件上传漏洞（CNVD-2023-71724）、Boom CMS跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

消保课堂｜新型骗局套路深，提高警惕莫轻信

不要轻易给陌生人转账、汇款；不要轻信来历不明电话和短信；不要随意点击不明链接，防止登录钓鱼网站。>>详细

【防骗】安全用卡知识请您听我说

针对花样繁多、层出不穷的诈骗手段，虽然各大银行已经配置了严密的账户安保技术和防范措施，然而，诈骗手段却常常“翻新”。>>详细

中国人民银行金融消费者权益保护典型案例

灵活运用多元解纷工具，切实化解涉农金融纠纷中的难点问题，才能将金融纠纷化解机制深入田间地头。>>详细

商用密码应用安全性评估管理办法（国家密码管理局令第3号）

为了规范商用密码应用安全性评估工作，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》、《商用密码管理条例》等有关法律法规，制定本办法。>>详细

北京银行持续强化消费者权益保护宣教工作

北京银行采取多元化、趣味性的创新宣传方式，以“进农村、进社区、进校园、进企业、进商圈”为核心，深入各个领域，聚焦“一老一小一新”人群，开展金融知识普及活动，扩大宣传覆盖面。>>详细

杭银消保讲堂 | “新防诈8个凡是”之凡是要求垫付资金做任务或做任务的，都是诈骗！

消费者们务必擦亮眼睛，慧眼识骗，远离电信网络诈骗，远离非法集资。>>详细

消保 | 金融知识普及月，快来辨别潜伏诈骗

诈骗分子在游戏聊天界面、QQ群、微信群中发布低价销售游戏币、游戏账号、游戏装备、低价充值等虚假信息，并以未成年不能进行网.上交易，需要提供父母的银行卡、微信信息为由，盗刷父母微信和银行卡余额。>>详细

【以案说险】提高警惕，识破骗局！

加您好友，带您投资，承诺稳赚不赔都是圈套，千万不要相信！理财投资请通过正规途径。>>详细

警惕新型蟹卡骗局

当有陌生来电准确说出你的个人信息，并告知有紧急事宜需处理、或有礼品需收取时，请保持冷静并通过官方途径进行核实。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年9月25日-10月8日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞562个，其中高危漏洞198个、中危漏洞296个、低危漏洞68个。漏洞平均分值为5.95。上周收录的漏洞中，涉及0day漏洞356个（占63%），其中互联网上出现“WBCE CMS任意文件上传漏洞（CNVD-2023-71724）、Boom CMS跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行欺骗攻击，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft SharePoint Server远程代码执行漏洞（CNVD-2023-72202）、Microsoft Exchange Server远程代码执行漏洞（CNVD-2023-72224、CNVD-2023-72225、CNVD-2023-72227、CNVD-2023-72228）、Microsoft Exchange Server欺骗漏洞（CNVD-2023-72226、CNVD-2023-72230、CNVD-2023-72231）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Linux产品安全漏洞

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致越界读取，使系统崩溃或提升他们在系统上的权限等。

CNVD收录的相关漏洞包括：Linux Kernel拒绝服务漏洞（CNVD-2023-71723）、Linux kernel内存错误引用漏洞（CNVD-2023-71722）、Linux kernel条件竞争漏洞（CNVD-2023-71721）、Linux kernel smb2misc.c文件越界读取漏洞、Linux kernel connection.c文件越界读取漏洞、Linux kernel Ext4文件系统内存错误引用漏洞、Linux kernel内存错误引用漏洞（CNVD-2023-72243）、Linux Kernel eBPF本地权限提升漏洞。其中，“Linux kernel smb2misc.c文件越界读取漏洞、Linux kernel connection.c文件越界读取漏洞、Linux kernel内存错误引用漏洞（CNVD-2023-72243）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取NTLMv2凭据，导致应用程序拒绝服务，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Acrobat Reader缓冲区溢出漏洞（CNVD-2023-71744）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2023-71750、CNVD-2023-71749）、Adobe Acrobat Reader释放后重用漏洞（CNVD-2023-71752、CNVD-2023-71754、CNVD-2023-71756、CNVD-2023-71759）、Adobe Illustrator越界写入漏洞（CNVD-2023-74542）。其中，除“Adobe Acrobat Reader输入验证错误漏洞（CNVD-2023-71750）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2023-71749）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Traffic Server（ATS）是美国阿帕奇（Apache）基金会的一套可扩展的HTTP代理和缓存服务器。Apache MINA是美国阿帕奇（Apache）基金会的一款网络应用程序框架。该产品主要用于开发高性能和高可伸缩性的网络应用程序。Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Flink是美国Apache基金会的一款开源的分布式流数据处理引擎。该产品主要使用Java和Scala语言编写。Func是Knative开源的一个客户端库和CLI ，支持功能的开发和部署。Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Superset是美国阿帕奇（Apache）基金会的一个数据可视化和数据探索平台。Apache DolphinScheduler是美国阿帕奇（Apache）基金会的一个分布式的基于DAG可视化的工作流任务调度系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，注入恶意内容到发送到用户浏览器的HTTP响应中，导致服务端请求伪造攻击等。

CNVD收录的相关漏洞包括：Apache Traffic Server信息泄露漏洞（CNVD-2023-71727）、Apache MINA信息泄露漏洞、Apache OFBiz路径遍历漏洞、Apache Flink代码注入漏洞、Apache Airflow授权问题漏洞（CNVD-2023-72233）、Apache Superset授权问题漏洞、Apache Superset REST API授权问题漏洞、Apache DolphinScheduler授权问题漏洞。其中，“Apache Traffic Server信息泄露漏洞（CNVD-2023-71727）、Apache OFBiz路径遍历漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Zoo Management System SQL注入漏洞（CNVD-2023-72245）

Zoo Management System是一个动物园管理系统。为动物园企业提供了一个在线和自动化平台来管理他们的日常记录。上周，Zoo Management System被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞进行欺骗攻击，在系统上执行任意代码等。此外，Linux、Adobe、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，注入恶意内容到发送到用户浏览器的HTTP响应中，导致服务端请求伪造攻击，导致越界读取，使系统崩溃或提升他们在系统上的权限等。另外，Zoo Management System被披露存在SQL注入漏洞。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、国家金融监督管理总局、国家密码管理局、中国银行、中国建设银行、北京银行、杭州银行微讯、西安银行、东莞银行、华润银行报道

责任编辑：韩希宇