国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞605个，互联网上出现“Tenda AC10U setSmartPowerManagement函数堆栈缓冲区溢出漏洞、libming parseSWF_TEXTRECORD功能内存泄露漏洞”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

反洗钱小课堂丨警惕大额消费套现洗钱新手法

大多数人都以为洗钱案例不会发生在自己身边，但随着不法分子洗钱套路不断迭代升级，有些人甚至在不知情的情况下被卷入其中。跟着漫画我们一起来学习反洗钱小知识吧。>>详细

全国投资者保护宣传日丨姣姣说消保之科学理性投资

了解风险承受能力，做好自身风险测评，学会科学投资理财，做理性金融消费者。>>详细

5.15全国投资者保护宣传日｜风险评估一定要实事求是

理财非存款，业绩比较基准非实际兑付收益，且高收益必然伴随着高风险。金融消费者在确定购买理财产品前要量力而行。>>详细

财政部 国家网信办关于印发《会计师事务所数据安全管理暂行办法》的通知

本办法所称数据，是指会计师事务所执行审计业务过程中，从外部获取和内部生成的任何以电子或者其他方式对信息的记录。>>详细

金融消保在身边 | 保障权益防风险

光大银行提醒广大投资者在投资过程中，需了解产品特点、风险和收益特征，根据自身需求和风险承受能力进行选择，理性投资。市场有风险 投资须谨慎。>>详细

金教基地 | 巧识“非法金融广告”

保持敏感，提高甄别能力：认清非法金融广告的危害，对于过于夸张和绝对的宣传词语保持高度警惕。>>详细

手机银行丨用行动守护你的爱-防骗安全铃

通过设置防骗安全铃，在父母转账超过预警值时，增加子女或亲属确认环，为亲情账户设置安全预警。>>详细

反诈丨手机兼职？小心“帮信犯罪”

所谓的“手机口”，是指将两部手机用一根音频对录线连接，或同时打开外放，其中一部手机通过网络社交软件与诈骗分子通话，另一部则插入本地电话卡拨打受害人电话，实现语音中转，成功掩饰诈骗电话归属地，来降低受害人的警惕。>>详细

【消保以案说险】虚拟货币高收益？诈骗陷阱等着你！

近期，虚拟货币交易炒作活动有所抬头，扰乱经济金融秩序滋生、非法集资、诈骗等违法犯罪活动，严重危害人民群众财产安全。大家要提高警惕，加强风险防范意识主动远离虚拟货币交易炒作活动，避免落入相关违法犯罪陷阱，保护好自己的钱袋子。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年4月29日-5月12日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞605个，其中高危漏洞247个、中危漏洞339个、低危漏洞19个。漏洞平均分值为6.32。上周收录的漏洞中，涉及0day漏洞480个（占79%），其中互联网上出现“Tenda AC10U setSmartPowerManagement函数堆栈缓冲区溢出漏洞、libming parseSWF_TEXTRECORD功能内存泄露漏洞”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apache产品安全漏洞

Apache Airflow是美国阿帕奇（Apache）基金会的一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache CloudStack是美国阿帕奇（Apache）基金会的一套基础架构即服务（IaaS）云计算平台。该平台主要用于部署和管理大型虚拟机网络。Apache HTTP Server是美国阿帕奇（Apache）基金会的一款开源网页服务器。该服务器具有快速、可靠且可通过简单的API进行扩充的特点。Apache HugeGraph是美国阿帕奇（Apache）基金会的一个速度快、可扩展性强的图形数据库。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过保护机制，通过配置UI页面查看敏感信息，在系统上执行任意命令，导致内存耗尽等。

CNVD收录的相关漏洞包括：Apache HugeGraph-Server命令执行漏洞、Apache HugeGraph-Server安全绕过漏洞、Apache HugeGraph-Hubble服务器端请求伪造漏洞、Apache Airflow FTP Provider信任管理问题漏洞、Apache Airflow信息泄露漏洞（CNVD-2024-20804）、Apache CloudStack输入验证错误漏洞（CNVD-2024-20836）、Apache CloudStack安全绕过漏洞、Apache HTTP Server资源管理错误漏洞。其中，除“Apache Airflow信息泄露漏洞（CNVD-2024-20804）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Microsoft产品安全漏洞

Microsoft Windows USB Hub Driver是美国微软（Microsoft）公司的一个驱动程序。Microsoft Windows Kernel是美国微软（Microsoft）公司的Windows操作系统的内核。Microsoft Windows Kerberos是美国微软（Microsoft）公司的一个用于在网络集群中进行身份验证的软件。Kerberos同时作为一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供认证服务。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过某些功能，获取敏感信息，提升权限，在系统上执行任意代码，造成拒绝服务等。

CNVD收录的相关漏洞包括：Microsoft Windows USB Hub Driver远程代码执行漏洞、Microsoft Windows Kernel拒绝服务漏洞、Microsoft Windows Kernel权限提升漏洞（CNVD-2024-21146、CNVD-2024-21148、CNVD-2024-21151）、Microsoft Windows Kernel信息泄露漏洞（CNVD-2024-21149、CNVD-2024-21150）、Microsoft Windows Kerberos安全功能绕过漏洞。其中，“Microsoft Windows USB Hub Driver远程代码执行漏洞、Microsoft Windows Kerberos安全功能绕过漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Oracle产品安全漏洞

Oracle MySQL是美国甲骨文（Oracle）公司的一套开源的关系数据库管理系统。上周，上述产品被披露存在拒绝服务漏洞，攻击者可利用漏洞导致MySQL服务器挂起或频繁重复崩溃。

CNVD收录的相关漏洞包括：Oracle MySQL拒绝服务漏洞（CNVD-2024-20806、CNVD-2024-20805、CNVD-2024-20809、CNVD-2024-20808、CNVD-2024-20807、CNVD-2024-20813、CNVD-2024-20812、CNVD-2024-20811）。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Bridge是美国奥多比（Adobe）公司的一款文件查看器。Adobe ColdFusion是美国奥多比（Adobe）公司的一套快速应用程序开发平台。该平台包括集成开发环境和脚本语言。Adobe InDesign是美国奥多比（Adobe）公司的一套排版编辑应用程序。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞绕过安全措施，获得对敏感文件的未经授权的访问权限，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Bridge堆缓冲区溢出漏洞（CNVD-2024-21153）、Adobe Bridge越界写入漏洞（CNVD-2024-21154）、Adobe Bridge内存错误引用漏洞（CNVD-2024-21155）、Adobe ColdFusion访问控制错误漏洞（CNVD-2024-21156）、Adobe InDesign越界读取漏洞（CNVD-2024-21162、CNVD-2024-21165）、Adobe Premiere Pro堆缓冲区溢出漏洞、Adobe Premiere Pro越界写入漏洞。其中，除“Adobe InDesign越界读取漏洞（CNVD-2024-21162、CNVD-2024-21165）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

TOTOLINK EX1800T langType参数命令执行漏洞

TOTOLINK EX1800T是中国吉翁电子（TOTOLINK）公司的一款Wi-Fi范围扩展器。上周，TOTOLINK EX1800T被披露存在命令执行漏洞。攻击者可利用该漏洞在系统上执行任意命令。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apache产品被披露存在多个漏洞，攻击者可利用漏洞绕过保护机制，通过配置UI页面查看敏感信息，在系统上执行任意命令，导致内存耗尽等。此外，Microsoft、Oracle、Adobe等多款产品被披露存在多个漏洞，攻击者可利用漏洞绕过某些功能，获取敏感信息，提升权限，在当前用户的上下文中执行任意代码，造成拒绝服务等。另外，TOTOLINK EX1800T被披露存在命令执行漏洞。攻击者可利用该漏洞在系统上执行任意命令。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、网信中国、中国人民银行深圳市分行、交通银行、中国光大银行私人银行、遇见浦发、晋商银行、汉口银行微银行、桂林银行金融服务、内蒙古银行微银行报道

责任编辑：韩希宇