国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞416个，互联网上出现“WordPress Photo Gallery跨站脚本漏洞、DevBlog跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

老人想绑定手机支付，工作人员却发现了问题……

老人所谓的“朋友”主要通过高额返利的“签到”模式进行诱骗，先通过返还小金额的方式，让老人尝到“甜头”，再诱导老人投入大金额的资金来获取巨额收益。>>详细

【消保】征信修复不可信 谨防诈骗套路

征信课堂开课啦！出现不良信息后该怎么办？花钱就能修复征信吗？今天的课堂将带大家全面了解征信修复骗局。>>详细

速戳丨解锁安全快捷支付，畅享美好生活！

逛街购物、吃饭买单、日常出行，一起解锁安全便捷的支付体验，畅享美好生活。>>详细

【小河讲反洗钱】揭秘如何利用黄金洗钱

经公安对涉案资金的追踪，公安发现周女士被骗资金被转入了两家注册在广东深圳的珠宝行，然后通过该珠宝行购买了大量黄金被人取走。>>详细

【消保小讲堂】“数字经济”新型骗局，这些套路要警惕

随着大家对数字经济的兴趣和热情愈发高涨，不法分子也开始打着“数字”旗号设置骗局陷阱，他们以投资区块链、虚拟货币、人工智能获得高收益为由，诱导消费者参与平台投资，并要求发展下线客户，一步步实施诈骗……>>详细

“百万保障”续保、取消要扣费？速速警惕这种新圈套！

凡是以关闭、设置百万保障为由要求转账或下载使用屏幕共享软件的都是诈骗。>>详细

【消保课堂】警惕 AI诈骗手段，维护个人财产安全

AI技术的广泛应用为社会公众提供了个性化、智能化的信息服务，也给网络诈骗带来可乘之机。>>详细

防诈|“数币”防骗小课堂

在参与数字人民币试点活动时，不要进入不明“活动链接”或“活动页面”，不要在不明页面中填写任何个人信息或进行转账操作。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年11月20日-26日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞416个，其中高危漏洞191个、中危漏洞198个、低危漏洞27个。漏洞平均分值为6.40。上周收录的漏洞中，涉及0day漏洞363个（占87%），其中互联网上出现“WordPress Photo Gallery跨站脚本漏洞、DevBlog跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Audition是美国奥多比（Adobe）公司的一套多音轨编辑工具。该产品主要使用包含多音轨、波形和光谱显示的完善工具集对音频内容进行混音、编辑和创建等。Adobe Media Encoder是一款音、视频编码应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行代码，导致敏感内存泄露。

CNVD收录的相关漏洞包括：Adobe Audition越界读取漏洞（CNVD-2023-88380、CNVD-2023-88658、CNVD-2023-88659）、Adobe Audition越界写入漏洞（CNVD-2023-88381）、Adobe Audition堆缓冲区溢出漏洞、Adobe Audition未初始化指针访问漏洞（CNVD-2023-88656、CNVD-2023-88660）、Adobe Media Encoder越界写入漏洞（CNVD-2023-88662）。其中，除“Adobe Audition未初始化指针访问漏洞（CNVD-2023-88660）”外，其余的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Apache Airflow Google Provider输入验证错误漏洞（CNVD-2023-88040、CNVD-2023-88041）、Apache Airflow Hive Provider代码注入漏洞、Apache Airflow权限提升漏洞、Apache Airflow安全绕过漏洞、Apache Airflow AWS Provider信息泄露漏洞、Apache Airflow Sqoop Provider输入验证错误漏洞、Apache Airflow Hive Provider输入验证错误漏洞。其中，除“Apache Airflow安全绕过漏洞”外，其余的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Huawei产品安全漏洞

Huawei HarmonyOS是中国华为（Huawei）公司的一个操作系统。提供一个基于微内核的全场景分布式操作系统。Huawei EMUI是华为公司开发的一种基于Android操作系统的用户界面。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，造成拒绝服务等。

CNVD收录的相关漏洞包括：Huawei HarmonyOS和EMUI权限管理漏洞、Huawei HarmonyOS和EMUI越界写入漏洞、Huawei HarmonyOS和EMUI权限控制漏洞（CNVD-2023-88957）、Huawei HarmonyOS信息泄露漏洞（CNVD-2023-88958）、Huawei HarmonyOS和EMUI信息泄露漏洞（CNVD-2023-88960、CNVD-2023-88962）、Huawei HarmonyOS和EMUI越界访问漏洞、Huawei HarmonyOS和EMUI内存错误引用洞。其中，除“Huawei HarmonyOS和EMUI权限控制漏洞（CNVD-2023-88957）”外，其余的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM InfoSphere Information Server是美国国际商业机器（IBM）公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从日志文件中获取敏感信息，在系统上执行任意命令等。

CNVD收录的相关漏洞包括：IBM InfoSphere Information Server跨站请求伪造漏洞（CNVD-2023-91223）、IBM InfoSphere Information Server CSV注入漏洞（CNVD-2023-91222）、IBM InfoSphere Information Server权限提升漏洞（CNVD-2023-91221）、IBM InfoSphere Information Server目录遍历漏洞、IBM InfoSphere Information Server信息泄露漏洞（CNVD-2023-91225、CNVD-2023-91224、CNVD-2023-91227）、IBM InfoSphere Information Server拒绝服务漏洞（CNVD-2023-91228）。其中，“IBM InfoSphere Information Server权限提升漏洞（CNVD-2023-91221）、IBM InfoSphere Information Server目录遍历漏洞、IBM InfoSphere Information Server信息泄露漏洞（CNVD-2023-91224）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TOTOLINK A3700R命令执行漏洞

TOTOLINK A3700R是中国吉翁电子（TOTOLINK）公司的一款无线路由器。上周，TOTOLINK A3700R被披露存在命令执行漏洞。攻击者可利用该漏洞通过UploadFirmwareFile函数的FileName参数执行任意代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行代码，导致敏感内存泄露。此外，Apache、Huawei、IBM等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，导致拒绝服务等。另外，TOTOLINK A3700R被披露存在命令执行漏洞。攻击者可利用漏洞通过UploadFirmwareFile函数的FileName参数执行任意代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国工商银行、中信银行、江苏银行、河北银行、桂林银行金融服务、天津农商银行、广东农信报道

责任编辑：韩希宇