国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞381个，互联网上出现“Dreamer CMS跨站请求伪造漏洞（CNVD-2024-00216）、JFinalCMS跨站脚本漏洞（CNVD-2024-00217）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

【防骗】警惕这种新圈套！虚假“百万保障”不但不保险，还会窃取钱财

不法分子非法获取公众个人信息并向目标人群致电，谎称自己是“百万保障”客服，以业务到期或目标对象误点、重复购买等理由，诱导其点击虚假网址，查看所谓的“百万保障”费用页面。>>详细

【消保】360°守护美好生活，平安银行积极践行消费者权益保护

回首2023年，平安银行消费者权益保护以人民为中心，当好金融消费者合法权益的坚定捍卫者，一路驰骋， 满满风景，不负使命。>>详细

反诈专栏 | 出借银行账户的风险，您知道吗？

在现代社会中，银行账户已经成为我们生活中不可或缺的一部分，银行账户安全性不容忽视。无论是为了帮助亲友还是其他原因，我们都应该遵守法律规定，不出租、出借个人银行账户给他人使用。>>详细

消保为民 | 信用卡盗刷后怎么办

信用卡作为重要的金融工具，在日常生活中使用便捷，满足我们在支付、消费、分期等方面需要，但却会被一些不法分子利用，存在一定的安全隐患。>>详细

找教培前查一查，信息透明防诈骗

找教培、想避坑、就用企业快查。>>详细

防范利用“元宇宙”新概念的新型非法集资

正是大众对“元宇宙”的不了解和好奇心理，给了不法分子机会，以“元宇宙”的名头吸收资金，涉嫌非法集资、诈骗等违法犯罪活动。>>详细

【反诈宣传】岁末年终，如何守护老年人的钱袋子？

临近年关，是诈骗案件的高发期，关心长者的支付安全问题，为他们营造一个安全、幸福的数字社会，是我们义不容辞的责任。>>详细

防诈|警惕诈骗分子，向学生伸出罪恶之手

家长们除了监督好孩子的学习生活，也需提醒孩子不要轻信网上的陌生人，对于陌生信息一律无视，做到不看、不点、不信。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年1月1日-7日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞381个，其中高危漏洞153个、中危漏洞209个、低危漏洞19个。漏洞平均分值为6.18。上周收录的漏洞中，涉及0day漏洞315个（占83%），其中互联网上出现“Dreamer CMS跨站请求伪造漏洞（CNVD-2024-00216）、JFinalCMS跨站脚本漏洞（CNVD-2024-00217）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。上周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-00337、CNVD-2024-00336、CNVD-2024-00335、CNVD-2024-00339、CNVD-2024-00338、CNVD-2024-00342、CNVD-2024-00341、CNVD-2024-00340）。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。目前，厂商已经发布了上述漏洞的修补程序。

DELL产品安全漏洞

Dell Virtual Appliance Manager是美国戴尔（Dell）公司的一个虚拟设备管理器。Dell Networking OS10是一款交换机。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从目标系统读取任意文件，在受影响的系统上执行任意操作系统命令，导致网络中断等。

CNVD收录的相关漏洞包括：Dell Virtual Appliance Manager命令注入漏洞（CNVD-2024-00186、CNVD-2024-00189、CNVD-2024-00185、CNVD-2024-00188）、Dell Virtual Appliance Manager任意文件读取漏洞（CNVD-2024-00187、CNVD-2024-00191）、Dell Virtual Appliance Manager信息泄露漏洞、Dell Networking OS10拒绝服务漏洞。其中，除“Dell Virtual Appliance Manager任意文件读取漏洞（CNVD-2024-00187）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限。

CNVD收录的相关漏洞包括：Google Android信息泄露漏洞（CNVD-2024-00159、CNVD-2024-00160、CNVD-2024-00161、CNVD-2024-00162、CNVD-2024-00163、CNVD-2024-00164、CNVD-2024-00165）、Google Android权限提升漏洞（CNVD-2024-00665）。其中，“Google Android权限提升漏洞（CNVD-2024-00665）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Dynamics 365是美国微软（Microsoft）公司的一套适用于跨国企业的ERP业务解决方案。该产品包括财务管理、生产管理和商业智能管理等。Microsoft Dynamics 365 (on-premises)是一组智能商业应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞执行跨站脚本攻击，导致系统拒绝服务。

CNVD收录的相关漏洞包括：Microsoft Dynamics 365 (on-premises)跨站脚本漏洞（CNVD-2024-00197、CNVD-2024-00201、CNVD-2024-00200、CNVD-2024-00199、CNVD-2024-00198、CNVD-2024-00203、CNVD-2024-00202）、Microsoft Dynamics 365 for Finance and Operations拒绝服务漏洞。其中，除“Microsoft Dynamics 365 (on-premises)跨站脚本漏洞（CNVD-2024-00198）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link Go-RT-AC750命令注入漏洞

D-Link GO-RT-AC750是中国友讯（D-Link）公司的一款无线双频简易路由器。上周，D-Link Go-RT-AC750被披露存在命令注入漏洞。攻击者可利用该漏洞在系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在跨站脚本漏洞，攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。此外，DELL、Google、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，执行跨站脚本攻击，在受影响的系统上执行任意操作系统命令，导致系统拒绝服务。另外，D-Link Go-RT-AC750被披露存在命令注入漏洞。攻击者可利用漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国工商银行、平安银行、恒丰银行总行、杭州银行微讯、晋商银行、广东农信、广州农村商业银行、鄞州银行报道

责任编辑：韩希宇