国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞531个，互联网上出现“PortlandLabs Concrete CMS自定义标签字段跨站脚本漏洞、Dreamer CMS跨站请求伪造漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【消保】信用报告有“错误” 异议申请来处理

征信课堂开课啦！信用报告出现错误记录该怎么办？今天的课堂将带大家全面了解信用报告异议申请解决办法。>>详细

【防骗】数字人小璇的“私藏”反诈秘籍

网络世界精彩纷呈，但华丽的背后往往是充满陷阱，各种诈骗手段层出不穷，让人防不胜防。别担心，小璇今天就拿出私藏的防骗指南，让我们一起应对诈骗！>>详细

反诈手记 | 账户转让能轻松挣钱？当心落入诈骗陷阱！

大家要提高信息保护意识，切莫贪图小利买卖、出租、出借银行账户，从而成为电信网络诈骗犯罪分子的帮凶，走上违法犯罪的道路。>>详细

【反洗钱】信用卡“代还”陷阱，尊嘟假嘟？

为减轻当前还款压力，可以向发卡银行申请办理分期业务或在到期还款日前归还最低还款额。>>详细

江苏银行：紧密联动 开展反黑反诈主题宣教活动

由于金融黑产活动具有复杂性和隐蔽性，单靠金融行业自身的力量很难有效打击。>>详细

【2023年金融消费者权益保护教育宣传月】警惕“儿童电话手表”新型诈骗

在没有家长或老师的陪伴下，小朋友不要随意外借电话手表或手机等通讯工具。>>详细

安全课堂 | 警惕！客服来电喊你退“会员”是骗局

以“电商直播会员”不取消会自动扣费、影响征信为由，引导操作“转账汇款”的都是诈骗。切记，不要轻易向陌生账号转账汇款，谨防上当受骗。>>详细

柳州银行信用卡安全用卡小提示

请勿随意在第三方APP上绑定您的卡片信息，将卡号、卡片有效期、安全码、动态验证码等重要信息透露给第三方，以防卡片信息泄露。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年12月4日-10日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞531个，其中高危漏洞237个、中危漏洞257个、低危漏洞37个。漏洞平均分值为6.26。上周收录的漏洞中，涉及0day漏洞449个（占85%），其中互联网上出现“PortlandLabs Concrete CMS自定义标签字段跨站脚本漏洞、Dreamer CMS跨站请求伪造漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得提升的权限。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-96075、CNVD-2023-96077、CNVD-2023-96079、CNVD-2023-96080、CNVD-2023-96081、CNVD-2023-96082、CNVD-2023-96084）、Google Android信息泄露漏洞（CNVD-2023-96083）。其中，除“Google Android信息泄露漏洞（CNVD-2023-96083）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Premiere Pro是美国奥多比（Adobe）公司的一套非线性编辑的视频剪辑软件。Adobe Photoshop是美国奥多比（Adobe）公司的一套图片处理软件。该软件主要用于处理图片。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在当前用户的上下文中执行代码，或导致应用程序崩溃。

CNVD收录的相关漏洞包括：Adobe Premiere Pro越界读取漏洞（CNVD-2023-95449、CNVD-2023-95448）、Adobe Premiere Pro缓冲区溢出漏洞（CNVD-2023-95451）、Adobe Premiere Pro越界写入漏洞（CNVD-2023-95450）、Adobe Photoshop越界读取漏洞（CNVD-2023-95524、CNVD-2023-95528、CNVD-2023-95526、CNVD-2023-95525）。其中，“Adobe Premiere Pro越界读取漏洞（CNVD-2023-95449、CNVD-2023-95448）、Adobe Premiere Pro缓冲区溢出漏洞（CNVD-2023-95451）、Adobe Premiere Pro越界写入漏洞（CNVD-2023-95450）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM CICS TX是美国国际商业机器（IBM）公司的一个综合的、单一的事务运行时包。IBM Cloud Pak for Security是美国国际商业机器（IBM）公司的一款应用软件。一个开放的安全平台，可连接到您现有的数据源以产生更深刻的见解，并使您能够更快地采取自动化行动。IBM Sterling Partner Engagement Manager（PEM）是一种供应链合作伙伴管理解决方案，可以为企业和其供应链合作伙伴带来提高效率和准确性、增强可见性和透明度等。IBM AIX（Advanced Interactive eXecutive）是 IBM 公司开发的基于UNIX的操作系统。IBM Security Verify Governance是美国国际商业机器（IBM）公司的一个智能身份访问平台。为组织提供了一个平台来分析、定义和控制用户访问和访问风险。IBM InfoSphere Information Server是美国国际商业机器（IBM）公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM CICS TX Advanced弱算法漏洞、IBM Cloud Pak for Security and IBM QRadar Suite Software信息泄露漏洞、IBM Sterling Partner Engagement Manager跨站脚本漏洞（CNVD-2023-95294）、IBM AIX拒绝服务漏洞（CNVD-2023-95293）、IBM CICS TX跨站请求伪造漏洞（CNVD-2023-95292）、IBM CICS TX跨站脚本漏洞（CNVD-2023-95291）、IBM Security Verify Governance硬编码漏洞、IBM InfoSphere Information Server输入验证错误漏洞。其中，“IBM CICS TX Advanced弱算法漏洞、IBM InfoSphere Information Server输入验证错误漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Foxit产品安全漏洞

Foxit Reader是中国福昕（Foxit）公司的一款PDF文档阅读器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Foxit Reader任意文件创建漏洞（CNVD-2023-96087、CNVD-2023-96090）、Foxit Reader类型混淆漏洞（CNVD-2023-96088）、Foxit Reader代码执行漏洞（CNVD-2023-96089、CNVD-2023-96093）、Foxit Reader内存错误引用漏洞（CNVD-2023-96091、CNVD-2023-96092、CNVD-2023-96094）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Open5GS拒绝服务漏洞（CNVD-2023-96086）

Open5GS是一个5G Core和Epc的C语言开源实现，即Lte/Nr网络的核心网络。上周，Open5GS被披露存在拒绝服务漏洞。该漏洞是由于ogs_sbi_message_free函数中的无效指针释放缺陷，攻击者可利用该漏洞导致服务中断。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上获得提升的权限。此外，Adobe、IBM、Foxit等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在当前用户的上下文中执行代码，导致拒绝服务等。另外，Open5GS被披露存在拒绝服务漏洞。攻击者可利用漏洞导致服务中断。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、新华网、中信银行、中国光大银行、浙商银行、北京银行微银行、泉州银行、柳州银行报道

责任编辑：韩希宇