国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞623个，互联网上出现“Online Courseware editt.php文件跨站脚本漏洞、Online Book System Product.php文件SQL注入漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

警惕利用“百万医疗”行骗 打假新型诈骗手段

“百万医疗”骗局采用免费赠送一段时间保费，加以高额保险报销为诱饵，在小程序中，将早已获取的受骗人相关信息录入，引诱受骗人搜索小程序查看，骗取受害人的信任，最后对受害人进行电信网络诈骗。>>详细

工行打造“融安e核”智能风控模型 筑牢反诈防火墙

“融安e核”智能风控模型可覆盖工商银行全量个人客户与对公客户，每日监控数以亿计的线上线下各渠道交易，建立了“横向到边、纵向到底”的立体化监控网络。>>详细

警银联动！防赌反诈，我们时刻守护

正是由于西岗支行的高效处置与协助，不仅成功堵截了涉案资金，也为公安机关侦办案件提供了有力支持。>>详细

反诈识诈 安全支付 | 企业对公账户新骗术早知道

在此提醒广大企业，要妥善保管企业银行账户、网银U盾及密码等，未经核实切勿将相关资料移交或寄送企业以外的任何单位和个人，银行工作人员不会以任何理由向企业索要银行账户密码、网银U盾及密码等。>>详细

【反洗钱小科普】一图读懂数字人民币！

数字人民币遵循“小额匿名、大额依法可溯”的原则，高度重视个人信息与隐私保护，充分考虑现有电子支付体系下业务风险特征及信息处理逻辑，满足公众对小额匿名支付服务需求，小额交易可以保持一定程度的匿名性。>>详细

小鹰说反诈 | “眼见”不一定为实 防范“AI换脸”

近期“AI换脸”新型诈骗频发，和你视频对话的可能并不是本人。AI换脸诈骗融合他人面孔和声音制作虚假图像和音视频，仿冒他人身份实施诱骗受害者转账。>>详细

防骗宣传丨“百万医疗保险”类诈骗案例及宣防要点

谨慎接听陌生人员的苹果手机FaceTime来电，如无使用需求请关闭FaceTime功能。日常生活中要牢记防骗“三不一多” 原则，即未知链接不点击、陌生来电不轻信、个人信息不透露、转账汇款多核实。>>详细

小鹰说反诈 | 警惕！个人退税陷阱大揭秘！

遇到所谓的“人工退税”来电时，不要相信所谓的“人工退税”，更不可向任何人透露个人敏感信息。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年4月22日-28日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞623个，其中高危漏洞240个、中危漏洞361个、低危漏洞22个。漏洞平均分值为6.18。上周收录的漏洞中，涉及0day漏洞466个（占75%），其中互联网上出现“Online Courseware editt.php文件跨站脚本漏洞、Online Book System Product.php文件SQL注入漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Microsoft产品安全漏洞

Microsoft Windows Hyper-V是美国微软（Microsoft）公司的一款可提供硬件虚拟化的工具。Microsoft Defender for IoT是一种适用于IoT/OT环境的资产发现、漏洞管理和威胁监控解决方案。 Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。Microsoft Windows Update Stack是美国微软（Microsoft）公司的用于管理更新的一部分。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致拒绝服务，在服务器上执行任意代码，可以提升权限等。

CNVD收录的相关漏洞包括：Microsoft Windows Hyper-V拒绝服务漏洞（CNVD-2024-19326）、Microsoft Windows Hyper-V远程代码执行漏洞（CNVD-2024-19327）、Microsoft Defender for IoT远程代码执行漏洞（CNVD-2024-19328、CNVD-2024-19329）、Microsoft Defender for IoT权限提升漏洞（CNVD-2024-19330、CNVD-2024-19331）、Microsoft Excel远程代码执行漏洞（CNVD-2024-19332）、Microsoft Windows Update Stack特权提升漏洞。其中，除“Microsoft Windows Hyper-V拒绝服务漏洞（CNVD-2024-19326）、Microsoft Windows Update Stack特权提升漏洞”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Security Verify Privilege是美国国际商业机器（IBM）公司的一个解决方案，用于管理和保护用户的身份和权限。 IBM SPSS Statistics是美国国际商业机器（IBM）公司的一个软件包。用于交互式或批量统计分析。IBM WebSphere Application Server Liberty是美国国际商业机器（IBM）公司的一款构建于Open Liberty项目之上的Java应用程序服务器。IBM Security Verify Access（ISAM）是美国国际商业机器（IBM）公司的一款提高用户访问安全的服务。该服务通过使用基于风险的访问、单点登录、集成访问管理控制、身份联合以及移动多因子认证实现对Web、移动、IoT 和云技术等平台安全简单的访问。IBM Maximo Application Suite是一组用于资产监控、管理、预测性维护和可靠性规划的应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞从SOAP API获取敏感信息，获取高度敏感的私有信息，使用特制的HTTP请求导致拒绝服务等。

CNVD收录的相关漏洞包括：IBM Security Verify Privilege信息泄露漏洞、IBM SPSS Statistics资源管理错误漏洞、IBM Security Verify Access Appliance和IBM Application Gateway信息泄露漏洞、IBM Security verify Access Appliance拒绝服务漏洞、IBM WebSphere Application Server Liberty加密问题漏洞、IBM WebSphere Application Server Liberty资源管理错误漏洞（CNVD-2024-20495）、IBM Security verify Access Appliance信任管理问题漏洞、IBM Maximo Application Suite目录遍历漏洞。其中，“IBM Security Verify Privilege信息泄露漏洞、IBM Security Verify Access Appliance和IBM Application Gateway信息泄露漏洞、IBM Security verify Access Appliance信任管理问题漏洞、IBM Maximo Application Suite目录遍历漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Animate是美国奥多比（Adobe）公司的一套Flash动画制作软件。Adobe Bridge是美国奥多比（Adobe）公司的一款文件查看器。Adobe After Effects是美国奥多比（Adobe）公司的一套视觉效果和动态图形制作软件。该软件主要用于2D和3D合成、动画制作和视觉特效制作等。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。Adobe Commerce是美国奥多比（Adobe）公司的一种面向商家和品牌的全球领先的数字商务解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过ASLR等措施，系统崩溃，从而导致拒绝服务，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Animate缓冲区溢出漏洞（CNVD-2024-19000、CNVD-2024-19001）、Adobe Bridge缓冲区溢出漏洞（CNVD-2024-18999）、Adobe Animate代码问题漏洞（CNVD-2024-19003）、Adobe Animate输入验证错误漏洞（CNVD-2024-19002）、Adobe After Effects缓冲区溢出漏洞（CNVD-2024-19006）、Adobe Illustrator缓冲区溢出漏洞（CNVD-2024-19005）、Adobe Commerce输入验证错误漏洞（CNVD-2024-19008）。其中，“Adobe Animate缓冲区溢出漏洞（CNVD-2024-19000）、Adobe Animate输入验证错误漏洞（CNVD-2024-19002）、Adobe Illustrator缓冲区溢出漏洞（CNVD-2024-19005）、Adobe Commerce输入验证错误漏洞（CNVD-2024-19008）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞导致MySQL服务器挂起或频繁重复崩溃。

CNVD收录的相关漏洞包括：Oracle MySQL拒绝服务漏洞（CNVD-2024-19011、CNVD-2024-19010、CNVD-2024-19009、CNVD-2024-19014、CNVD-2024-19013、CNVD-2024-19012、CNVD-2024-19018、CNVD-2024-19017）。目前，厂商已经发布了上述漏洞的修补程序。

Tenda W18E缓冲区溢出漏洞

Tenda W18E是中国腾达（Tenda）公司的一款无线路由器。上周，Tenda W18E被披露存在缓冲区溢出漏洞。攻击者可利用该漏洞在系统上执行任意代码或者导致拒绝服务。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Microsoft产品被披露存在多个漏洞，攻击者可利用漏洞导致拒绝服务，在服务器上执行任意代码，可以提升权限。此外，IBM、Adobe、Oracle等多款产品被披露存在多个漏洞，攻击者可利用漏洞从SOAP API获取敏感信息，获取高度敏感的私有信息，使用特制的HTTP请求导致拒绝服务，在当前用户的上下文中执行任意代码等等。另外，Tenda W18E被披露存在缓冲区溢出漏洞。攻击者可利用漏洞在系统上执行任意代码或者导致拒绝服务。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、中国人民银行江西省分行、中国工商银行、兴业银行、邯郸银行、杭州银行、微青银、泉州银行报道

责任编辑：韩希宇