国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞488个，互联网上出现“WordPress插件WCFM Marketplace跨站脚本漏洞、Hospital Management System SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

防范电信网络诈骗——企业对公账户新骗术早知道

近期，不法分子以低息贷款、投资、收购等名义骗取企业支付工具用于资金诈骗的案件频发，请企业高度重视、加强防范。>>详细

以案说险 | 谨防“低利率”贷款诈骗套路

请通过银行正规网点和官方APP咨询和办理个人贷款业务。牢记银行不会向借款人收取“服务费”“手续费”等。>>详细

【反诈】网上购物买年货，这些骗局要注意

正规渠道来交易，私下付款藏猫腻，折扣信息别轻信，虚假平台要当心，面对超高中奖率，冲昏头脑是大忌，蝇头小利是诱饵，诈骗钱财是目的。>>详细

防诈|年前购物热潮，诈骗“重头戏”来了

在线上购物时，要谨防“提高销量、刷信誉度、增加好评”等“兼职”广告，千万不要抱着好奇的心态去尝试，从而掉入陷阱。>>详细

【锦囊】消保侦探社，真相大揭秘

不法分子以“保本高息”虚假宣传吸引消费者，通过社交软件添加好友，将其拉入“投资"群聊，然后冒充投资导师、理财专家，以“投资暴富案例”“直播课”骗取消费者信任，再以有“内部消息”“会员渠道”“特殊资源”等诱骗消费者参与投资。>>详细

【消保黔行】了解征信知识，守护“经济身份证”！

征信报告主要包含个人基本信息、信息概要、信贷交易信息明细、非信贷交易信息明细、公共信息明细、查询记录这六大块内容。>>详细

安全课堂 | 春节假期出行，谨防“机票退改签”诈骗！

涉及付款时，不法分子往往会引导乘客通过输入验证码、转账的方式实施诈骗，遇到转账要求应马上拒绝，切勿提供自己的银行卡号、短信验证码等信息。>>详细

消保为民 | 防范银行卡盗刷风险

不要轻信各种名义的“福利”，不要通过网络提供自己的身份信息及支付信息。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年1月15日-21日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞488个，其中高危漏洞197个、中危漏洞261个、低危漏洞30个。漏洞平均分值为6.29。上周收录的漏洞中，涉及0day漏洞348个（占71%），其中互联网上出现“WordPress插件WCFM Marketplace跨站脚本漏洞、Hospital Management System SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Tenda产品安全漏洞

Tenda AX1803是中国腾达（Tenda）公司的一款双频千兆WIFI6路由器。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。

CNVD收录的相关漏洞包括：Tenda AX1803缓冲区溢出漏洞（CNVD-2024-02208、CNVD-2024-02211、CNVD-2024-02210、CNVD-2024-02209、CNVD-2024-02214、CNVD-2024-02213、CNVD-2024-02212、CNVD-2024-02217）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Substance 3D Stager是美国奥多比（Adobe）公司的一个虚拟3D工作室。Adobe RoboHelp Server是面向FrameMaker和RoboHelp企业用户的基于服务器的应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞查看、添加、修改或删除后端数据库中的信息，系统上执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Substance 3D Stager越界读取漏洞（CNVD-2024-02723、CNVD-2024-02724、CNVD-2024-02725、CNVD-2024-02726、CNVD-2024-02727）、Adobe RoboHelp Server SQL注入漏洞、Adobe RoboHelp Server信息泄露漏洞、Adobe RoboHelp Server路径遍历漏洞。其中，“Adobe RoboHelp Server信息泄露漏洞、Adobe RoboHelp Server路径遍历漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Google产品安全漏洞

Google Android是美国谷歌（Google）公司的一套以Linux为基础的开源操作系统。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，提升权限，在系统上执行任意代码。

CNVD收录的相关漏洞包括：Google Android权限提升漏洞（CNVD-2024-02335）、Google Android代码执行漏洞（CNVD-2024-02336、CNVD-2024-02677）、Google Android信息泄露漏洞（CNVD-2024-02678、CNVD-2024-02704、CNVD-2024-02705、CNVD-2024-02706、CNVD-2024-02707）。其中，“Google Android权限提升漏洞（CNVD-2024-02335）、Google Android代码执行漏洞（CNVD-2024-02336、CNVD-2024-02677）、Google Android信息泄露漏洞（CNVD-2024-02704）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft .NET是一个致力于敏捷软件开发、快速应用开发、平台无关性和网络透明化的软件框架。Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。Microsoft Office是美国微软（Microsoft）公司的一款办公软件套件产品。该产品常用组件包括Word、Excel、Access、Powerpoint、FrontPage等。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取SYSTEM权限，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft .NET拒绝服务漏洞（CNVD-2024-02713）、Microsoft Excel执行代码漏洞、Microsoft Excel安全功能绕过漏洞（CNVD-2024-02715）、Microsoft Office执行代码漏洞（CNVD-2024-02716、CNVD-2024-02722）、Microsoft Office安全功能绕过漏洞（CNVD-2024-02717、CNVD-2024-02720）、Microsoft Office权限提升漏洞（CNVD-2024-02721）。其中，除“Microsoft Office安全功能绕过漏洞（CNVD-2024-02720）”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TRENDnet TV-IP1314PI缓冲区溢出漏洞

TRENDnet TV-IP1314PI是美国趋势网络（TRENDnet）公司的一款无线网络摄像机。上周，TRENDnet TV-IP1314PI被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞导致任意命令执行。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Tenda产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。此外，Adobe、Google、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全限制，获取敏感信息，提升权限，在系统上执行任意代码等。另外，TRENDnet TV-IP1314PI被披露存在缓冲区溢出漏洞，攻击者可利用该漏洞导致任意命令执行。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中信银行、遇见浦发、北京银行微银行、江苏银行、晋商银行、贵州银行、广东农信报道

责任编辑：韩希宇