国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞353个，互联网上出现“Evolution CMS跨站脚本漏洞（CNVD-2023-85602）、D-Link DAR-7000 mailrecvview.php文件SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

国家金融监管总局叶燕斐：进一步细化制定行业数据安全管理专项办法

银行业保险业作为数据密集型行业，强化数据治理，加快推进数字化转型发展，既是激活数据要素潜能、做强最优做大数字经济的使命担当，也是提升金融服务的智能化水平，增强防范化解风险的能力的内在动力。>>详细

【以案说险】不明电话不要信 多方求证有必要

日常生活中，消费者不能轻信来历不明的电话、短信、邮件及链接，不要轻易在网络上留下个人金融信息。>>详细

反诈专栏 | 预警劝阻莫忽视 财产安全要重视

请警惕他人使用您的实名手机卡、身份证件、银行卡、对公账户，实施可能用于电信诈骗或网络赌博等的犯罪行为。>>详细

保护自身权益，拒绝买卖金融账户

妥善保管好自己的身份证、银行卡、网银Ukey，保护好登录账号和密码等信息。>>详细

反洗钱集中宣传 | 以案说罪 什么是“自洗钱”

在2021年3月后，实施上游犯罪后又洗钱的，不仅要追究上游犯罪的刑事责任，还要追究洗钱犯罪的刑事责任。>>详细

【风险提醒】“转贷降息”套路深，稍不留神，就！掉！坑！

警惕陌生电话或短信以“转贷降息”等名义推销贷款业务的行为。>>详细

防诈|防诈骗进行时，“违章”诈骗要当心

遇到涉及输入重要个人信息、银行卡信息的情况时，需要多留个心眼。>>详细

【防诈骗】你是否接到过这样的电话？

公检法机关没有所谓的“安全账户”，更不会让公民转账汇款。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年11月6日-12日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞353个，其中高危漏洞121个、中危漏洞209个、低危漏洞23个。漏洞平均分值为6.30。上周收录的漏洞中，涉及0day漏洞299个（占85%），其中互联网上出现“Evolution CMS跨站脚本漏洞（CNVD-2023-85602）、D-Link DAR-7000 mailrecvview.php文件SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-84088、CNVD-2023-84087、CNVD-2023-84086、CNVD-2023-84089、CNVD-2023-84092、CNVD-2023-84091、CNVD-2023-84095、CNVD-2023-84094）。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM WebSphere Application Server Liberty是美国国际商业机器（IBM）公司的一款构建于Open Liberty项目之上的Java应用程序服务器。IBM QRadar SIEM是一套利用安全智能保护资产和信息远离高级威胁的解决方案。该方案提供对整个IT架构范围进行监督、生成详细的数据访问和用户活动报告等功能。IBM Security Verify Privilege Manager是一个用于公司环境中用于端点特权管理和应用程序控制的安全管理软件。该软件通过从端点移除本地管理权限，阻止恶意软件和勒索软件的无意下载进而攻击应用程序，利用IBM Security Privilege Manager，可立即轻松执行最小特权和应用程序控制。IBM Security Verify Governance是一个身份和访问管理解决方案。它是一种用于管理和监控用户身份、权限和访问的软件系统。IBM Sterling Partner Engagement Manager是一个自动化管理工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，通过发送特制请求在系统上执行任意命令等。

CNVD收录的相关漏洞包括：IBM WebSphere Application Server Liberty资源管理错误漏洞、IBM QRadar SIEM信息泄露漏洞（CNVD-2023-83656）、IBM Security Verify Privilege Manager访问控制错误漏洞、IBM Security Verify Privilege Manager任意文件上传漏洞、IBM Security Verify Governance跨站脚本漏洞、IBM Security Verify Governance硬编码漏洞（CNVD-2023-83661）、IBM Security Verify Governance命令执行漏洞、IBM Sterling Partner Engagement Manager身份验证错误漏洞。其中，“IBM WebSphere Application Server Liberty资源管理错误漏洞、IBM Sterling Partner Engagement Manager身份验证错误漏洞、IBM Security Verify Governance命令执行漏洞、IBM Security Verify Privilege Manager任意文件上传漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，导致系统拒绝服务。

CNVD收录的相关漏洞包括：Microsoft Message Queuing拒绝服务漏洞（CNVD-2023-84123、CNVD-2023-84125、CNVD-2023-84124）、Microsoft Message Queuing远程代码执行漏洞（CNVD-2023-84126、CNVD-2023-84127、CNVD-2023-84129、CNVD-2023-84128、CNVD-2023-84132）。其中，“Microsoft Message Queuing拒绝服务漏洞（CNVD-2023-84123、CNVD-2023-84125、CNVD-2023-84124）”漏洞的综合评级为“高危” 。目前，厂商已经发布了上述漏洞的修补程序。

HCL Technologies 产品安全漏洞

HCL Technologies Commerce是美国HCL Technologies公司的一款用于电子商务的软件平台框架。该软件在可定制的集成软件包中包括营销，销售，客户和订单处理功能。HCL Technologies AppScan Presence是一套动态分析测试工具，它主要用于Web安全测试。HCL Technologies BigFix Mobile是一款移动设备管理（Mobile Device Management，MDM）解决方案。它旨在帮助企业和组织有效地管理和保护移动设备，包括智能手机、平板电脑和其他移动设备。HCL Technologies Traveler Companion是一款ios Iphone和Ipad应用程序。用于在Apple设备上阅读加密的Hcl Notes邮件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，使用特制的URL读取系统上的任意文件，获得提升的权限，上传恶意脚本，在系统上执行任意PHP代码等。

CNVD收录的相关漏洞包括：HCL Technologies Commerce目录遍历漏洞、HCL Technologies AppScan Presence权限提升漏洞、HCL Technologies Compass访问控制错误漏洞、HCL Technologies Compass弱密码漏洞、HCL Technologies Compass文件上传漏洞、HCL Technologies BigFix Mobile跨站脚本漏洞、HCL Technologies BigFix Mobile命令注入漏洞、HCL Technologies Traveler Companion信息泄露漏洞。其中，“HCL Technologies Compass访问控制错误漏洞、HCL Technologies Compass弱密码漏洞、HCL Technologies Compass文件上传漏洞、HCL Technologies BigFix Mobile命令注入漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Zoo Management System跨站脚本漏洞（CNVD-2023-85427）

Zoo Management System是一个动物园管理系统。为动物园企业提供了一个在线和自动化平台来管理他们的日常记录。上周，Zoo Management System被披露存在跨站脚本漏洞。攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞导致本地权限提升。此外，IBM、Microsoft、HCL Technologies等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，使用特制的URL读取系统上的任意文件，获得提升的权限，通过发送特制请求在系统上执行任意命令等。另外，Zoo Management System被披露存在跨站脚本漏洞。攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、恒丰银行总行、华润银行、河北银行、鄞州银行、广州农村商业银行、广东农信、四川农信报道

责任编辑：韩希宇