国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞367个，互联网上出现“CSZ CMS跨站脚本漏洞（CNVD-2024-12211）、FlyCms跨站请求伪造漏洞（CNVD-2024-12210）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

央行：增强金融网络安全和数据安全保障能力

中国人民银行将持续做好金融科技工作，加快构建中国特色现代金融体系，以现代科技手段助力金融强国建设、支持高质量发展。>>详细

315在行动丨电诈手段新花样，AI诈骗知多少？

要多多提醒、告诫身边的亲人、朋友提高安全意识和应对高科技诈骗的能力，共同预防受骗。特别是提醒老年人在接到莫名电话、短信时，要及时与家人二次确认，不要贸然转账。>>详细

消保课堂 | 保障信息安全 一起来学消保“八段锦”

金融消费者在购买金融产品或接受金融服务时，享有其个人金融信息安全保障、不被泄露的权利。金融机构应当严格防控金融消费者信息泄露风险，保障金融消费者信息安全。>>详细

中国邮政储蓄银行开展2024年“3·15”金融消费者权益保护教育宣传活动

3月11日至3月17日，中国邮政储蓄银行在全行开展2024年“3·15”金融消费者权益保护教育宣传活动。>>详细

【警惕】“练好”火眼金睛， “三打”Cosplay

我们一起做“金融明白人”，一定擦亮眼睛，守护好钱袋子，不给不法分子任何机会。>>详细

3·15靠“浦”说 | 青少年反诈小TIPS

电信诈骗手段层出不穷，不法分子开始将矛头指向安全意识薄弱的青少年，增强网络安全意识和自我保护能力是广大青少年必不可少的。>>详细

3·15靠“浦”说 | 防范电信网络诈骗小课堂

不要相信任何索要银行卡密码和手机验证码的行为，不向银行业务流程外的任何渠道提供银行卡密码和手机验证码。>>详细

广发银行大数据智能风控，用心守护客户资金安全｜2024年“3.15”金融消保教育宣传活动

近年来，广发银行持续建设大数据智能风控平台底层能力，布署迭代交易风控模型和策略，对重点交易场景探索设计系列管控策略规则。>>详细

“3·15”金融消费者权益保护教育宣传活动|反电诈，教您识破骗子的花招

银行、支付宝等发来的“短信验证码”是身份验证信息，所以不要随意通过电话、短信、软件等方式向任何人和机构透露该信息。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年3月4日-10日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞367个，其中高危漏洞125个、中危漏洞230个、低危漏洞12个。漏洞平均分值为6.14。上周收录的漏洞中，涉及0day漏洞314个（占86%），其中互联网上出现“CSZ CMS跨站脚本漏洞（CNVD-2024-12211）、FlyCms跨站请求伪造漏洞（CNVD-2024-12210）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Adobe产品安全漏洞

Adobe Framemaker是美国奥多比（Adobe）公司的一套用于编写和编辑大型或复杂文档（包括结构化文档）的页面排版软件。Adobe Audition是一套多音轨编辑工具。该产品主要使用包含多音轨、波形和光谱显示的完善工具集对音频内容进行混音、编辑和创建等。Adobe Substance 3D Painter是一个3D纹理处理应用程序。Adobe Acrobat Reader是一款PDF查看器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，导致应用程序崩溃等。

CNVD收录的相关漏洞包括：Adobe Substance 3D Designer越界读取漏洞（CNVD-2024-11672）、Adobe Substance 3D Painter缓冲区溢出漏洞（CNVD-2024-11673）、Adobe Acrobat and Reader越界读取漏洞（CNVD-2024-11665、CNVD-2024-11664、CNVD-2024-11663、CNVD-2024-11667）、Adobe FrameMaker Publishing Server身份验证错误漏洞、Adobe Audition堆缓冲区溢出漏洞（CNVD-2024-11670）。其中，“Adobe Substance 3D Designer越界读取漏洞（CNVD-2024-11672）、Adobe FrameMaker Publishing Server身份验证错误漏洞、Adobe Audition堆缓冲区溢出漏洞（CNVD-2024-11670）、Adobe Substance 3D Painter缓冲区溢出漏洞（CNVD-2024-11673）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Dell产品安全漏洞

Dell ESI for SAP LAMA是美国戴尔（Dell）公司的将SAP LaMa与戴尔产品集成的软件解决方案。Dell OS10 Networking Switches是一款交换机。Dell Unity是一套虚拟Unity存储环境。Dell SupportAssist for Home PCs是一款适用于家庭电脑的客户端应用程序。该程序提供自动化、主动和预测性技术进行故障排除等。Dell SupportAssist for Business PCs是一款适用于企业电脑的客户端应用程序。该程序提供自动化、主动和预测性技术进行故障排除等。Dell Secure Connect Gateway Application是一种安全连接网关。Dell RecoverPoint for Virtual Machines是一套面向VMware环境的灾难恢复解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意命令，导致本地权限升级，信息泄露和拒绝服务等。

CNVD收录的相关漏洞包括：Dell Unity跨站脚本漏洞、Dell ESI for SAP LAMA信息泄露漏洞、Dell OS10 Networking Switches信息泄露漏洞、Dell OS10 Networking Switches命令执行漏洞、Dell Unity跨站脚本漏洞、Dell SupportAssist for Home PCs权限提升漏洞、Dell SupportAssist for Business PCs本地身份验证绕过漏洞、Dell Secure Connect Gateway Application SQL注入漏洞、Dell RecoverPoint for Virtual Machines暴力破解漏洞。其中，“Dell ESI for SAP LAMA信息泄露漏洞、Dell OS10 Networking Switches信息泄露漏洞、Dell OS10 Networking Switches命令执行漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Security Guardium是美国国际商业机器（IBM）公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Security Verify Access是美国国际商业机器（IBM）公司的一款提高用户访问安全的服务。IBM Operational Decision Manager是一种决策管理解决方案，用于帮助组织更好地管理和执行业务规则和决策。IBM Maximo Asset Management是一套综合性资产生命周期和维护管理解决方案。该方案能够在一个平台上管理所有类型的资产，如设施、交通运输等，并对这些资产实现单点控制。IBM i是一套运行在IBM Power Systems和IBM PureSystems中的操作系统。IBM Sterling B2B Integrator是一套集成了重要的B2B流程、交易和关系的软件。该软件支持与不同的合作伙伴社区之间实现复杂的B2B流程的安全集成。IBM CICS TX Standard and Advanced是一个综合的、单一的事务运行时包。可以为独立应用程序提供云原生部署模型。IBM Storage Ceph是的IBM支持的开源软件定义存储平台，可在单个系统中提供可扩展的对象、块和文件存储。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞解密高度敏感的信息，通过发送特制请求来在系统上执行任意命令，上传任意文件，造成浏览器崩溃等。

CNVD收录的相关漏洞包括：IBM Security Guardium操作系统命令注入漏洞（CNVD-2024-11735）、IBM Security Verify Access信任管理问题漏洞、IBM Operational Decision Manager代码问题漏洞、IBM Maximo Asset Management访问控制错误漏洞、IBM i Access Client Solutions授权问题漏洞、IBM Sterling B2B Integrator资源管理错误漏洞、IBM CICS TX Standard加密问题漏洞、IBM Storage Ceph输入验证错误漏洞。其中，“IBM Security Guardium操作系统命令注入漏洞（CNVD-2024-11735）、IBM Security Verify Access信任管理问题漏洞、IBM Operational Decision Manager代码问题漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft SharePoint Server是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。Microsoft Hyper-V是一个应用程序。一种系统管理程序虚拟化技术，能够实现桌面虚拟化。Microsoft Visual Studio是一款开发工具套件系列产品，也是一个基本完整的开发工具集，它包括了整个软件生命周期中所需要的大部分工具。Microsoft Win32k是一个用于Windows多用户管理的系统文件。Microsoft Windows Cloud Files Mini Filter Driver是一款云文件过滤器驱动程序。Microsoft Common Log File System是通用日志文件系统（CLFS） API提供了一个日志文件子系统，专用客户端应用程序可以使用该子系统并且多个客户端可以共享以优化日志访问。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在系统上执行任意代码，获取SYSTEM权限，导致拒绝服务等。

CNVD收录的相关漏洞包括：Microsoft SharePoint Server远程代码执行漏洞（CNVD-2024-11162）、Microsoft Hyper-V远程代码执行漏洞（CNVD-2024-11160）、Microsoft Hyper-V拒绝服务漏洞（CNVD-2024-11161）、Microsoft Visual Studio权限提升漏洞（CNVD-2024-11163）、Microsoft Win32K权限提升漏洞（CNVD-2024-11164、CNVD-2024-11165）、Microsoft Windows Cloud Files Mini Filter Driver权限提升漏洞、Microsoft Common Log File System权限提升漏洞。其中，“Microsoft SharePoint Server远程代码执行漏洞（CNVD-2024-11162）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

D-Link GO-RT-AC750跨站脚本漏洞

D-Link GO-RT-AC750是中国友讯（D-Link）公司的一款无线双频简易路由器。上周，D-Link GO-RT-AC750被披露存在跨站脚本漏洞。攻击者可利用该漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Adobe产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，在系统上执行任意代码，导致应用程序崩溃等。此外，Dell、IBM、Microsoft等多款产品被披露存在多个漏洞，攻击者可利用漏洞解密高度敏感的信息，在系统上执行任意命令，导致本地权限升级，导致拒绝服务等。另外，D-Link GO-RT-AC750被披露存在跨站脚本漏洞。攻击者可利用漏洞通过注入精心设计的有效载荷执行任意Web脚本或HTML。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行、中国银联、交通银行、邮储银行+、中国光大银行、遇见浦发、广发银行、浙商银行微讯报道

责任编辑：韩希宇