国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞406个，互联网上出现“SeaCMS跨站脚本漏洞（CNVD-2024-06149）、江西铭软科技有限公司MCMS SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行发布《个人征信电子授权安全技术指南》，促进信贷业务规范发展

《指南》提到，鉴别原则为，金融机构宜以有效性为原则，充分鉴别个人身份，且仅采集身份鉴别所必需的最少信息，保护个人信息安全。>>详细

反诈小象欺诈手法大盘点

如有陌生人通过电话、短信或网络等方式联系您，请保持警惕，切勿轻易相信对方身份，先核实对方说辞的真伪。>>详细

【以案说险】卡借他人有风险，电信诈骗在身边

当前很多不法分子利用他人银行卡进行电信网络诈骗和洗钱活动，为保障个人资金安全，请您提高警惕，拒绝非常规利益诱惑，避免踏入投资、传销陷阱。>>详细

小郑说反诈：警惕！电信网络诈骗新套路

作为您的忠实伙伴，小郑提醒大家警惕这些新型电信网络诈骗手法，保护好自己的财产安全。>>详细

春节返乡，不忘反诈——多部门联合，共宣反诈

为了提高返乡人员的防骗意识，1月26日，由中国人民银行桂林市分行、国家金融监督管理总局桂林监管分局、桂林市反诈中心、桂林银行股份有限公司在桂林站联合开展了主题为“春节返乡，不忘反诈”的返乡人员反诈宣传活动。>>详细

小泉仔讲消保丨警惕“百万保障”诈骗，慎用“屏幕共享”功能

凡是远程取消所谓的“百万保障”业务，要求下载指定软件并授权手机屏幕共享权限的，均为诈骗，让我们提高警惕，共同努力，守护好”钱袋子”。>>详细

【以案说险】警惕非法集资 远离高收益陷阱

在投资的世界里，"高回报"往往伴随着"高风险"。当有人向您承诺高额收益，而所需投入似乎微不足道时，请暂停脚步，仔细思考：这真的是一个不容错过的机会吗? >>详细

警惕丨古玩之名的诈骗“剧本”了解吗

古董文玩千千万，真真假假很难辨，谨慎对待投资品，轻易莫信“高收益”，专业机构有资质，“装修华丽”不算数，“拍卖”‘‘鉴宝”易伪装，事前亲友多商量，一旦发现有异常，立即报警没商量！>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年1月22日-28日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞406个，其中高危漏洞185个、中危漏洞209个、低危漏洞12个。漏洞平均分值为6.50。上周收录的漏洞中，涉及0day漏洞316个（占78%），其中互联网上出现“SeaCMS跨站脚本漏洞（CNVD-2024-06149）、江西铭软科技有限公司MCMS SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

D-Link产品安全漏洞

D-Link DIR-823G是中国友讯（D-Link）公司的一款无线路由器。上周，上述产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞导致拒绝服务。

CNVD收录的相关漏洞包括：D-Link DIR-823G缓冲区溢出漏洞（CNVD-2024-04955）、D-Link DIR-823G SetDeviceSettings函数缓冲区溢出漏洞、D-Link DIR-823G EndTime参数缓冲区溢出漏洞、D-Link DIR-823G Mac参数缓冲区溢出漏洞、D-Link DIR-823G StartTime参数缓冲区溢出漏洞、D-Link DIR-823G MacAddress参数缓冲区溢出漏洞、D-Link DIR-823G Password参数缓冲区溢出漏洞、D-Link DIR-823G Encryption参数缓冲区溢出漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Message Queuing是用于实现需要高性能的异步和同步场景的解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从堆内存中获取敏感信息，在系统上执行任意代码，导致系统拒绝服务。

CNVD收录的相关漏洞包括：Microsoft Message Queuing拒绝服务漏洞（CNVD-2024-04948、CNVD-2024-04952）、Microsoft Message Queuing信息泄露漏洞（CNVD-2024-04947、CNVD-2024-04946、CNVD-2024-04950、CNVD-2024-04949、CNVD-2024-04951）、Microsoft Message Queuing远程代码执行漏洞（CNVD-2024-04953）。其中，“Microsoft Message Queuing拒绝服务漏洞（CNVD-2024-04948、CNVD-2024-04952）、Microsoft Message Queuing远程代码执行漏洞（CNVD-2024-04953）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Trend Micro产品安全漏洞

Trend Micro Apex Central是美国趋势科技(Trend Micro)公司的一个基于Web的产品控制台。Trend Micro Apex One是一套能够提供自动威胁检测和响应功能的端点安全防护软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞注入恶意脚本或HTML代码，提升权限，在系统上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Trend Micro Apex Central本地文件包含漏洞、Trend Micro Apex Central跨站脚本漏洞（CNVD-2024-04936、CNVD-2024-04937）、Trend Micro Apex One权限提升漏洞（CNVD-2024-04943、CNVD-2024-04942、CNVD-2024-04941、CNVD-2024-04945、CNVD-2024-04944）。其中，“Trend Micro Apex Central本地文件包含漏洞”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。上周，上述产品被披露存在跨站脚本漏洞，攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-04927、CNVD-2024-04926、CNVD-2024-04930、CNVD-2024-04929、CNVD-2024-04928、CNVD-2024-04934、CNVD-2024-04933、CNVD-2024-04932）。目前，厂商已经发布了上述漏洞的修补程序。

Tenda A18缓冲区溢出漏洞

Tenda A18是中国腾达（Tenda）公司的一款AC1200双频Wi-Fi中继器。上周，Tenda A18被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务攻击。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，D-Link产品被披露存在缓冲区溢出漏洞，攻击者可利用漏洞导致拒绝服务。此外，Microsoft、Trend Micro、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞从堆内存中获取敏感信息，注入恶意脚本或HTML代码，提升权限，在系统上下文中执行任意代码等。另外，Tenda A18被披露存在缓冲区溢出漏洞。攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务攻击。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、移动支付网、工银融e行、河北银行、郑州银行、湖南三湘银行、泉州银行、桂林银行金融服务、广西北部湾银行微生活报道

责任编辑：韩希宇