国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞498个，互联网上出现“BoidCMS跨站脚本漏洞、JFinalCMS跨站脚本漏洞（CNVD-2023-9773206）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

工商银行开展“反诈我在行”工行驿站志愿服务活动

工商银行携手微信支付开展“反诈我在行”工行驿站志愿服务活动，向群众普及金融反诈防诈与安全支付知识，增强金融消费者风险防范能力。>>详细

【防诈秘籍】第三期：警惕6种冒充公检法骗局！

大家要保管好自己的银行卡及密码，不要轻易向他人透露银行卡信息。对来历不明的短信或电话需提高警惕，切勿轻易向他人透露银行卡、密码等信息，如果收到可疑短信，持卡人可亲自到银行柜台咨询，也可致电发卡行的客服热线。>>详细

【消保】新市民擦亮眼：入职缴纳保证金？当心招工诈骗！

要选择正规渠道：通过正规渠道获取招聘信息，避开小型未知网站，谨防未经核实的“内部消息”。>>详细

反诈专栏 | 谨慎“机票退改签”骗局

当接到航班取消，需要退票或改签的电话、短信时，不要轻易相信，一定要通过官方电话或者APP进行核实。>>详细

在“浙”里看见全民反诈，浙商银行在行动

“反诈集市”上，浙商银行设置了“反诈秘籍”“反诈锦囊”“反诈行动”等妙趣横生的互动环节，以通关打卡形式带领现场群众参与趣味游戏、互动答题，以寓教于乐的形式开展反诈宣传教育。>>详细

【警惕】养老诈骗“套路”多！小心中招！

为切实维护老年人合法权益，守护老年消费安全，促进老年消费公平，现发布老年人消费警示，提醒广大老年人，警惕以下载不明软件、“投资理财”等为名目的诈骗行为，守好自身的养老钱。>>详细

杭银消保讲堂| “新防诈十个凡是”之二 凡是说百万医疗、保险保障到期，要扣月费，问你要不要关闭服务的，一定是诈骗

近期，利用Facetime电话进行电信网络诈骗案件明显抬头，这不，私人银行客户C女士就遇上了，所幸被杭州银行的预警系统阻断，同时闸口支行高效协助拦截，成功使客户避免了大额资金损失。>>详细

安全|磁条卡换芯片卡，有“芯”更安全！

芯片如微型电脑可记录卡号、密钥、证书等信息，有读写保护机制，对数据加密。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年12月11日-17日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞498个，其中高危漏洞234个、中危漏洞239个、低危漏洞25个。漏洞平均分值为6.69。上周收录的漏洞中，涉及0day漏洞392个（占79%），其中互联网上出现“BoidCMS跨站脚本漏洞、JFinalCMS跨站脚本漏洞（CNVD-2023-9773206）”等零日代码攻击漏洞。

上周重要漏洞安全告警

DELL产品安全漏洞

Dell DM5500是美国戴尔（Dell）公司的一款集成解决方案。提供业界领先的重复数据删除、数据保护解决方案和多云功能。Dell PowerScale OneFS是一个操作系统。提供横向扩展NAS的PowerScale OneFS操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞覆盖服务器文件系统上存储的文件，执行任意代码，导致拒绝服务等。

CNVD收录的相关漏洞包括：Dell DM5500权限提升漏洞、Dell DM5500身份验证错误漏洞、Dell DM5500操作系统命令注入漏洞、Dell DM5500路径遍历漏洞、Dell DM5500跨站脚本漏洞、Dell DM5500缓冲区溢出漏洞、Dell PowerScale OneFS拒绝服务漏洞（CNVD-2023-9671099）、Dell DM5500信息泄露漏洞。其中，除“Dell DM5500跨站脚本漏洞、Dell DM5500信息泄露漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Apache产品安全漏洞

Apache Cocoon是美国阿帕奇（Apache）基金会的一个基于组件的Web开发的概念构建的Web应用程序框架。Apache Superset是一个数据可视化和数据探索平台。Apache Submarine是云原生机器学习平台。Apache UIMA是一个组件化的软件架构。用于分析同终端用户相关联的大容量非结构化信息。Apache Struts是一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架，主要提供两个版本框架产品，Struts 1和Struts 2。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞通过发送特制的XML文件读取文件，窃取数据库敏感数据，导致代码执行等。

CNVD收录的相关漏洞包括：Apache Cocoon XML外部实体注入漏洞、Apache Cocoon SQL注入漏洞、Apache Superset跨站脚本漏洞（CNVD-2023-9665948）、Apache Superset输入验证错误漏洞（CNVD-2023-9666130）、Apache Superset授权问题漏洞（CNVD-2023-9666047）、Apache Submarine反序列化漏洞、Apache UIMA反序列化漏洞、Apache Struts目录遍历漏洞。其中，除“Apache Superset跨站脚本漏洞（CNVD-2023-9665948）、Apache Superset输入验证错误漏洞（CNVD-2023-9666130）、Apache Superset授权问题漏洞（CNVD-2023-9666047）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，导致权限提升。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2023-96682、CNVD-2023-96681、CNVD-2023-96680、CNVD-2023-96685、CNVD-2023-96684、CNVD-2023-96683、CNVD-2023-96689）、Google Android代码执行漏洞（CNVD-2023-96686）。其中，“Google Android代码执行漏洞（CNVD-2023-96686）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

SCALANCE M-800、MUM-800和S615以及RUGGEDCOM RM1224都是工业路由器。SINEC INS（基础设施网络服务）是一个基于web的应用程序，将各种网络服务结合在一个工具中。这简化了与工业网络相关的所有网络服务的安装和管理。SIMATIC PC Station是一个软件组件，用于管理PC上的SIMATIC软件产品和接口。SIMATIC S7-400控制器专为工业环境中的离散和连续控制而设计，如世界各地的制造业、食品和饮料以及化工行业。SIMATIC CP 1242和CP 1243相关处理器将SIMATIC S7-1200控制器连接到广域网（WAN）。它们提供集成的安全功能，如防火墙、虚拟专用网络（VPN）以及对其他数据加密协议的支持。SIMATIC CP 1543-1通信处理器将SIMATIC S7-1500控制器连接到以太网。它们提供集成的安全功能，如防火墙、虚拟专用网络（VPN）以及对其他数据加密协议的支持。SINUMERIK MC是一个用于定制机器解决方案的CNC系统。SINUMERIK ONE是一个数字原生数控系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞截获发送到UMC服务器的凭据，并操纵响应，从而升级权限，在系统上执行命令，导致拒绝服务等。

CNVD收录的相关漏洞包括：Siemens SINEC INS操作系统命令注入漏洞、Siemens SCALANCE M-800/S615系列操作系统命令注入漏洞（CNVD-2023-97257、CNVD-2023-97258）、Siemens SINEC INS证书验证不当漏洞、Siemens多款产品Web服务器拒绝服务漏洞（CNVD-2023-97269、CNVD-2023-97270）、Siemens工业产品Web服务器拒绝服务漏洞、Siemens SINUMERIK ONE和SINUMERIK-MC拒绝服务漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Tenda AX3命令执行漏洞

Tenda Ax3是中国腾达（Tenda）公司的一款Ax1800千兆端口双频Wifi 6无线路由器。上周，Tenda AX3被披露存在命令执行漏洞。攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，DELL产品被披露存在多个漏洞，攻击者可利用漏洞覆盖服务器文件系统上存储的文件，执行任意代码，导致拒绝服务等。此外，Apache、Google、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞通过发送特制的XML文件读取文件，在系统上执行任意代码，导致权限提升，拒绝服务等。另外，Tenda AX3被披露存在命令执行漏洞。攻击者可利用漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国工商银行、中国邮政储蓄银行、中信银行、浙商银行微讯、恒丰银行总行、河北银行、杭州银行消保之声、广东农信报道

责任编辑：韩希宇