国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞407个，互联网上出现“WordPress插件Frontend File Manager安全绕过漏洞、WordPress插件Coming Soon Page & Maintenance Mode跨站脚本漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

中国人民银行征信中心：提供征信修复并借此敛财均为诈骗

任何提供所谓“征信修复”并借此敛财的均为诈骗行为。社会公众不仅无法借此删除不良信用记录，还存在信息泄露、上当受骗、钱财损失的风险。>>详细

【防骗】投资理财选择正规渠道，谨防欺诈套路

选择正规投资渠道，不要轻信网络平台发布的夸大投资信息，以及所谓的“炒股牛人/专家荐股/内幕信息”等。>>详细

开卡需谨慎！小心一不留神陷入电信诈骗

对消费者而言，要重视和保护个人信息安全，办卡时的基本信息、常用联系方式、密码等重要信息不能告诉他人，并且要严防转借或转卖借记卡，避免自己陷入犯罪份子的违法陷阱。>>详细

小智快报，揭秘诈骗新套路！

未成年对金钱缺乏概念，很容易落入犯罪分子的诈骗圈套，广大家长应加强对未成年的防骗教育，同时保管好个人手机付款码、支付密码等重要信息。>>详细

贴心客服来电？小心是诈骗！

凡自称某金融客服以影响征信、需注销账户、调整利率为由，让您下载软件、共享屏幕填写信息的，均为诈骗！>>详细

【以案说险】擦亮双眼，警惕银行卡刷“流水”骗局

如果您需要办理贷款，请向正规金融机构进行咨询，不要相信各种“野广告”、、“小广告”上承诺帮忙贷款的信息，更不要使用自己的银行卡帮助他人“刷流水”，否则一不小心就会成为不法分子的“帮凶”。>>详细

【消保黔行】辨别金融营销宣传主体资质，有效“避雷”不踩坑

金融营销宣传行为是指金融产品或金融服务经营者利用各种宣传工具或方式，就金融产品或金融服务进行宣传、推广的行为。>>详细

【必看】年末防诈小贴士

尽管诈骗花样层出不穷，只要我们提高警惕，就不会轻易给骗子们可乘之机。>>详细

刷流水办贷款？小心刷成电诈帮凶！

保护好个人和对公账户，不要将银行卡、网银盾、支付密码等提供给他人，防止被不法分子利用。>>详细

安全威胁播报

上周漏洞基本情况

上周（2023年12月25日-31日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞407个，其中高危漏洞132个、中危漏洞251个、低危漏洞24个。漏洞平均分值为6.06。上周收录的漏洞中，涉及0day漏洞245个（占60%），其中互联网上出现“WordPress插件Frontend File Manager安全绕过漏洞、WordPress插件Coming Soon Page & Maintenance Mode跨站脚本漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致权限提升。

CNVD收录的相关漏洞包括：Google Android信息泄露漏洞（CNVD-2023-101640、CNVD-2023-101642、CNVD-2023-101645、CNVD-2023-101648、CNVD-2023-101649、CNVD-2023-101650、CNVD-2023-101651）、Google Android权限提升漏洞（CNVD-2023-100964）。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Media Encoder是美国奥多比（Adobe）公司的一款音、视频编码应用程序。Adobe Dimension是美国奥多比（Adobe）公司的是一套2D和3D合成设计工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全功能，获取敏感信息，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Adobe ColdFusion路径遍历漏洞（CNVD-2023-100303）、Adobe Experience Manager跨站脚本漏洞（CNVD-2023-100304）、Adobe Media Encoder越界读取漏洞（CNVD-2023-100306）、Adobe Media Encoder堆缓冲区溢出漏洞、Adobe Dimension越界读取漏洞（CNVD-2023-100308）、Adobe ColdFusion访问控制错误漏洞、Adobe ColdFusion代码执行漏洞（CNVD-2023-100310）、Adobe ColdFusion跨站脚本漏洞（CNVD-2023-100311）。其中，“Adobe Media Encoder越界读取漏洞（CNVD-2023-100306）、Adobe Media Encoder堆缓冲区溢出漏洞、Adobe ColdFusion访问控制错误漏洞、Adobe ColdFusion代码执行漏洞（CNVD-2023-100310）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM DB2是美国国际商业机器（IBM）公司的一套关系型数据库管理系统。该系统的执行环境主要有UNIX、Linux、IBMi、z/OS以及Windows服务器版本。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞导致拒绝服务。

CNVD收录的相关漏洞包括：IBM DB2拒绝服务漏洞（CNVD-2023-100313、CNVD-2023-100314、CNVD-2023-100315、CNVD-2023-100316、CNVD-2023-100317、CNVD-2023-100318、CNVD-2023-100319、CNVD-2023-100320）。其中，“IBM DB2拒绝服务漏洞（CNVD-2023-100317）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Dynamics 365是美国微软（Microsoft）公司的一套适用于跨国企业的ERP业务解决方案。该产品包括财务管理、生产管理和商业智能管理等。Microsoft Visual Studio是美国微软（Microsoft）公司的一款开发工具套件系列产品，也是一个基本完整的开发工具集，它包括了整个软件生命周期中所需要的大部分工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞窃取受害者基于cookie的身份验证凭据，获取敏感信息，进行欺骗攻击，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft Dynamics 365(on-premises)跨站脚本漏洞（CNVD-2023-101676）、Microsoft Visual Studio信息泄露漏洞（CNVD-2023-101682）、Microsoft Visual Studio权限提升漏洞（CNVD-2023-101683、CNVD-2023-101685、CNVD-2023-101686）、Microsoft Visual Studio拒绝服务漏洞、Microsoft Visual Studio远程代码执行漏洞（CNVD-2023-101687）、Microsoft Dynamics 365 Sales欺骗漏洞。其中，“Microsoft Visual Studio远程代码执行漏洞（CNVD-2023-101687）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Geeklog跨站脚本漏洞

Geeklog是一种开源软件，可用作Weblog，CMS或Web Portal。上周，Geeklog被披露存在跨站脚本漏洞。该漏洞源于应用对用户提供的数据缺乏有效过滤与转义，攻击者可利用该漏洞通过精心设计的有效负载注入邮件设置（backend、host、port、auth）来执行任意Web脚本或HTML。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Google产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致权限提升。此外，Adobe、IBM、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全功能，窃取受害者基于cookie的身份验证凭据，获取敏感信息，进行欺骗攻击，在系统上执行任意代码，导致拒绝服务等。另外，Geeklog被披露存在跨站脚本漏洞。攻击者可利用该漏洞通过精心设计的有效负载注入邮件设置（backend、host、port、auth）来执行任意Web脚本或HTML。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国工商银行客户服务、交通银行微银行、光大远程微讯、广发银行、贵州银行、昆仑银行、常熟农商银行报道

责任编辑：韩希宇