国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞438个，互联网上出现“XunRuiCMS跨站脚本漏洞（CNVD-2024-12713）、CMS Made Simple跨站脚本漏洞（CNVD-2024-13561）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

中国互联网金融协会召开“金融数据要素合规应用与安全管理”工作座谈会

金融业是数据密集型和科技驱动型行业，做好金融数据要素合规应用与安全管理工作，有助于深化金融数字化转型，赋能数字金融守正创新。>>详细

【反诈】防范电信网络诈骗，保护金融消费者权益

四个凡是要记牢，电信网络诈骗诡计多端，不轻信、不透露、不转账，守住自己的“钱袋子”。>>详细

消保小课堂丨同学们，这些金融知识要知道

非法校园贷是通过零利息、超便捷、零风险等虚假宣传，诱骗在校学生借款，最终跌入“套路贷”“高利贷” 陷阱。>>详细

因守护而精彩 | 又一市民差点中招！广发银行的电话一定要接

诈骗手段层出不穷，但目的都指向一处：套取消费者个人金融信息并窃取钱财。广发银行提醒您，越是关键时刻，越要擦亮眼睛，不听、不信、不转账，及时接听银行官方客服电话，牢牢守住“钱袋子”！>>详细

以案说险 | 警惕信用卡“积分兑换”骗局

随着网络技术的发展，一些不法分子通过“积分兑换”为诱饵，盗取持卡人交易身份信息后实施盗刷，不仅侵害消费者的信息安全权和财产安全权，也给信用卡支付市场的安全稳定发展带来了负面影响。>>详细

长沙银行员工助力网络诈骗案资金追回

近日，长沙银行收到了一封来自汉川市公安局韩集水陆派出所的感谢信，对长沙银行及员工李婷在协助办理李某某网络诈骗案中展现的专业素养和责任担当表示衷心感谢。>>详细

【反诈】“FaceTime”陌生来电不要接！小心，这可能是诈骗！

近期，诈骗分子假冒电商、银行客服人员，频繁向苹果手机用户发起FaceTime视频通话，以关闭“百万保障、保险”“办理贷款”等为由，引诱受害人转账汇款，或引导受害人泄露个人卡号、密码、验证码等信息，造成资金损失。>>详细

警银合力 拦截一起网络投资诈骗

千万不要相信“零风险，高回报”的说辞，对所谓的超高收益投资要小心，请勿贪图便宜，以免上当受骗。大家应选择正规投资理财途径，避免落入网络投资理财诈骗陷阱。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年3月11日-17日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞438个，其中高危漏洞166个、中危漏洞254个、低危漏洞18个。漏洞平均分值为6.30。上周收录的漏洞中，涉及0day漏洞356个（占81%），其中互联网上出现“XunRuiCMS跨站脚本漏洞（CNVD-2024-12713）、CMS Made Simple跨站脚本漏洞（CNVD-2024-13561）”等零日代码攻击漏洞。

上周重要漏洞安全告警

IBM产品安全漏洞

IBM CICS TX Advanced是美国国际商业机器（IBM）公司的一个事务处理监控系统，用于在企业环境中运行大规模、高事务量的应用程序。IBM Security Verify Privilege是美国国际商业机器（IBM）公司的一个解决方案，用于管理和保护用户的身份和权限。IBM Security Guardium是美国国际商业机器（IBM）公司的一套提供数据保护功能的平台。该平台包括自定义UI、报告管理和流线化的审计流程构建等功能。IBM Sterling Connect:Express for UNIX是美国国际商业机器（IBM）公司的一套适用于UNIX平台的文件传输解决方案。IBM InfoSphere Information Server是美国国际商业机器（IBM）公司的一套数据整合平台。该平台可用于整合各种渠道获取的数据信息。IBM Cognos Analytics是美国国际商业机器（IBM）公司的一套商业智能软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，注入精心设计的有效载荷执行任意Web脚本或HTML，通过浏览器UI造成拒绝服务等。

CNVD收录的相关漏洞包括：IBM CICS TX Advanced跨站脚本漏洞（CNVD-2024-12700）、IBM Security Verify Privilege On-Premises信息泄露漏洞、IBM CICS TX Advanced信息泄露漏洞、IBM Security Guardium XML外部实体注入漏洞（CNVD-2024-12704）、IBM Sterling Connect:Express for UNIX缓冲区溢出漏洞、IBM InfoSphere Information Server跨站脚本漏洞（CNVD-2024-12706）、IBM Cognos Analytics访问控制错误漏洞（CNVD-2024-12708）、IBM Cognos Analytics Web UI跨站脚本漏洞（CNVD-2024-13549）。其中，“IBM Sterling Connect:Express for UNIX缓冲区溢出漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。Adobe Substance 3D Painter是美国奥多比（Adobe）公司的一个3D纹理处理应用程序。Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe Acrobat Reader DC是一款免费的PDF阅读软件。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在受害者浏览器中执行恶意JavaScript内容，执行非授权指令，可以取得系统特权，进而进行各种非法操作，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-12462）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2024-12461）、Adobe Substance 3D Painter缓冲区溢出漏洞（CNVD-2024-12465、CNVD-2024-12464、CNVD-2024-12463）、Adobe InDesign缓冲区溢出漏洞（CNVD-2024-12469）、Adobe Illustrator资源管理错误漏洞（CNVD-2024-12467）、Adobe Acrobat Reader DC缓冲区溢出漏洞（CNVD-2024-12466）。其中，除“Adobe Experience Manager跨站脚本漏洞（CNVD-2024-12462）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2024-12461）、Adobe InDesign缓冲区溢出漏洞（CNVD-2024-12469）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Mozilla产品安全漏洞

Mozilla Firefox是美国Mozilla基金会的一款开源Web浏览器。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致浏览器崩溃，无意中授予不打算授予的权限，使用未知的攻击向量在易受攻击的系统上执行任意代码或导致拒绝服务等。

CNVD收录的相关漏洞包括：Mozilla Firefox拒绝服务漏洞（CNVD-2024-12547）、Mozilla Firefox代码执行漏洞（CNVD-2024-12546、CNVD-2024-12550）、Mozilla Firefox安全绕过漏洞（CNVD-2024-12549、CNVD-2024-12548）、Mozilla Firefox HTTP头注入漏洞、Mozilla Firefox越界读取漏洞（CNVD-2024-12552）、Mozilla Firefox for iOS跨站脚本漏洞。其中，除“Mozilla Firefox for iOS跨站脚本漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Fortinet产品安全漏洞

Fortinet FortiOS是一套专用于FortiGate网络安全平台上的安全操作系统。Fortinet FortiProxy是一种安全的网络代理，通过结合多种检测技术，如Web过滤、DNS过滤、DLP、反病毒、入侵防御和高级威胁保护，可以保护员工免受网络攻击。Fortinet FortiPAM是美国飞塔（Fortinet）公司的一款权限访问控制的平台。Fortinet FortiNAC是美国飞塔（Fortinet）公司的一套网络访问控制解决方案。该产品主要用于网络访问控制和物联网安全防护。Fortinet FortiSIEM是美国飞塔（Fortinet）公司的一套安全信息和事件管理系统。该系统包括资产发现、工作流程自动化和统一管理等功能。Fortinet FortiClientEMS是美国飞塔（Fortinet）公司的Fortinet提供的端点管理解决方案的一部分，旨在帮助组织有效地管理其网络中的终端设备，并提供端点安全性的监控和控制。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞窃取受害者基于cookie的身份验证凭据，在系统上执行任意代码或命令等。

CNVD收录的相关漏洞包括：多款Fortinet产品格式化字符串错误漏洞、Fortinet FortiOS和FortiProxy空指针解引用漏洞（CNVD-2024-13019、CNVD-2024-13092）、Fortinet FortiNAC跨站脚本漏洞（CNVD-2024-13094）、Fortinet FortiOS和FortiProxy越界写入漏洞、Fortinet FortiSIEM操作系统命令注入漏洞（CNVD-2024-13099、CNVD-2024-13100）、Fortinet FortiClientEMS CSV注入漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

PHPEMS反序列化漏洞（CNVD-2024-13536）

PHPEMS是一个PHP在线模拟考试系统。上周，PHPEMS被披露存在反序列化漏洞。攻击者可利用该漏洞通过参数picurl导致反序列化。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，IBM产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，注入精心设计的有效载荷执行任意Web脚本或HTML，通过浏览器UI造成拒绝服务等。此外，Adobe、Mozilla、Fortinet等多款产品被披露存在多个漏洞，攻击者可利用漏洞在受害者浏览器中执行恶意JavaScript内容，执行非授权指令，可以取得系统特权，进而进行各种非法操作，在当前用户的上下文中执行任意代码等。另外，PHPEMS被披露存在反序列化漏洞。攻击者可利用漏洞通过参数picurl导致反序列化。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国互联网金融协会、邮储银行+、中国光大银行、广发银行微讯社、微青银、快乐长行人、昆仑银行、鄞州银行报道

责任编辑：韩希宇