国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞482个，互联网上出现“TomExam跨站脚本漏洞、Alluxio跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

以案说险 | “天上不会掉馅饼，高额返利是套路”谨防骗局，从我做起

近年以来，非法集资骗术层出不穷，多以各类投资名义，或办理各类会员卡高额返利等方式，骗取人们信任，尤其针对中老年投资人，通过收取保证金、约定到期返还保证金，并提供免费入住养老基地等服务名目或给予养老补贴等方式进行非法集资。>>详细

“养老钱”不翼而飞？这些套路要提防

老年群体对养老保障和稳定收益的需求无可厚非，但面对飞来的“横财”和“好处”，特别是陌生人许诺的高额利益，应提高警惕。>>详细

【以案说险】办理贷款要谨慎 正规渠道有必要

无论在哪个金融平台上进行贷款申请，所有正规渠道都不会在放贷前收取费用。一旦遇上任何名头提前收取费用的行为，要及时停止操作。>>详细

【以案说险】你我同心，反诈“童”行！揭秘儿童电话手表新骗局

如今儿童电话手表已成为万千父母的好伙伴，几乎家家必备，不仅能时刻了解孩子的位置，还有电话、视频等多样功能，也着实“解放”了家长们，但也给坏人有了可乘之机。>>详细

反电诈法一周年｜诈骗集团日趋垄断，“技术中立”难掩犯罪事实

攻防升级之下，电信网络诈骗治理迈入更深阶段。何以预防？>>详细

【消保黔行】提示！个人金融信息安全守护攻略请查收

遭遇信息外泄的个人有权立即要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。>>详细

【理财小讲堂】三招教你识别虚假理财投资洗钱诈骗

超八成受害者是从各种社交平台和骗子互加好友，从而被“赚钱经验”、“理财讲师”、“内幕消息”吸引到各大虚假投资平台。>>详细

眼见未必为实！谨防"AI换脸"新型诈骗

当前，AI技术的广泛应用为社会公众提供了个性化、智能化的信息服务，也给网络诈骗带来可乘之机。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年11月27日-12月3日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞482个，其中高危漏洞174个、中危漏洞288个、低危漏洞20个。漏洞平均分值为6.15。上周收录的漏洞中，涉及0day漏洞412个（占85%），其中互联网上出现“TomExam跨站脚本漏洞、Alluxio跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。

CNVD收录的相关漏洞包括：Adobe After Effects越界读取漏洞（CNVD-2023-91788、CNVD-2023-91794、CNVD-2023-91793、CNVD-2023-91791）、Adobe After Effects越界写入漏洞（CNVD-2023-91787、CNVD-2023-91790）、Adobe ColdFusion代码执行漏洞（CNVD-2023-94489、CNVD-2023-94490）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Skype for Business Server是美国微软（Microsoft）公司的一套安全统一的通信平台，它提供即时消息(IM)、音频和视频通话、联机会议、联机状态信息和共享功能。Microsoft QUIC是美国微软（Microsoft）公司的一个网络传输协议。Microsoft Outlook是美国微软（Microsoft）公司的一套电子邮件应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞以更高的权限获取敏感信息，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft Skype for Business远程代码执行漏洞（CNVD-2023-92199、CNVD-2023-92200、CNVD-2023-92203）、Microsoft Skype for Business权限提升漏洞（CNVD-2023-92201）、Microsoft QUIC拒绝服务漏洞（CNVD-2023-92204、CNVD-2023-92205）、Microsoft Outlook欺骗漏洞、Microsoft Outlook远程代码执行漏洞（CNVD-2023-92208）。其中，除“Microsoft Skype for Business权限提升漏洞（CNVD-2023-92201）”外，其余的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Cisco产品安全漏洞

Cisco AppDynamics PHP Agent是美国思科（Cisco）公司的一个代理程序，用于监控PHP应用程序的性能。Cisco Identity Services Engine（ISE）是美国思科（Cisco）公司的一款环境感知平台（ISE身份服务引擎）。该平台通过收集网络、用户和设备中的实时信息，制定并实施相应策略来监管网络。Cisco Unified Contact Center Express（Unified CCX）是美国思科（Cisco）公司的一款统一通信解决方案中的客户关系管理组件。该组件支持自助语音服务、呼叫分配和客户访问控制等功能。Cisco Intersight是美国思科（Cisco）公司的一个应用平台。提供了智能管理级别，使IT组织能够以比前几代工具更先进的方式分析、简化和自动化其环境。Cisco SD-WAN vManage是美国思科（Cisco）公司的一个高度可定制的仪表板。可简化和自动化Cisco SD-WAN的部署、配置、管理和操作。Cisco Webex Meetings是美国思科（Cisco）公司的一套视频会议解决方案。Cisco Duo是美国思科（Cisco）公司的一个完全托管的解决方案。提供对您的应用程序和数据的安全访问。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞替换文件并访问敏感的服务器端信息，使用root权限执行任意命令等。

CNVD收录的相关漏洞包括：Cisco AppDynamics PHP Agent权限提升漏洞、Cisco Identity Services Engine任意文件写入漏洞、Cisco Unified Contact Center Express输入验证错误漏洞（CNVD-2023-93334）、Cisco Intersight Private Virtual Appliance命令注入漏洞、Cisco SD-WAN vManage存在访问控制错误漏洞、Cisco Webex Meetings任意文件上传漏洞、Cisco Identity Services Engine命令注入漏洞（CNVD-2023-93336）、Cisco Duo身份验证错误漏洞。其中，“Cisco Identity Services Engine任意文件写入漏洞、Cisco Intersight Private Virtual Appliance命令注入漏洞、Cisco Duo身份验证错误漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Traffic Server（ATS）是美国阿帕奇（Apache）基金会的一套可扩展的HTTP代理和缓存服务器。Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache OFBiz是美国阿帕奇（Apache）基金会的一套企业资源计划（ERP）系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache Jena是美国阿帕奇（Apache）基金会的一个Java语义网框架。用于构建语义Web和链接数据应用程序。Apache InLong是美国阿帕奇（Apache）基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache ActiveMQ是美国阿帕奇（Apache）基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致身份验证绕过，通过SPARQL查询执行任意javascript导致拒绝服务等。

CNVD收录的相关漏洞包括：Apache Airflow授权问题漏洞（CNVD-2023-93318）、Apache Traffic Server输入验证错误漏洞（CNVD-2023-93321）、Apache HTTP Server缓冲区溢出漏洞（CNVD-2023-93320）、Apache OFBiz访问控制错误漏洞、Apache Jena跨站脚本漏洞、Apache InLong反序列化漏洞（CNVD-2023-93323）、Apache Traffic Server信息泄露漏洞（CNVD-2023-93322）、Apache ActiveMQ反序列化漏洞。除“Apache Airflow授权问题漏洞（CNVD-2023-93318）、Apache OFBiz访问控制错误漏洞、Apache Jena跨站脚本漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

baserCMS代码注入漏洞

baserCMS是baserCMS团队的一套企业级内容管理系统（CMS）。上周，baserCMS被披露存在代码注入漏洞。攻击者可利用该漏洞通过mail form注入代码。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行任意代码。此外，Microsoft、Cisco、Apache等多款产品被披露存在多个漏洞，攻击者可利用漏洞以更高的权限获取敏感信息，在系统上执行任意代码，导致身份验证绕过，通过SPARQL查询执行任意javascript导致拒绝服务等。另外，baserCMS被披露存在代码注入漏洞。攻击者可利用漏洞通过mail form注入代码。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、21世纪经济报道、交通银行、遇见浦发、河北银行、贵州银行、桂林银行金融服务、常熟农商银行报道

责任编辑：韩希宇