国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞696个，互联网上出现“ASUS RT-N12+ B1权限提升漏洞、SEMCMS SQL注入漏洞（CNVD-2024-23136）”等零日代码攻击漏洞，上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻并告警重要漏洞，深入探讨信息安全知识。

一周行业要闻速览

他真的是在“帮”您吗？

共享屏幕的功能本是为了方便信息传递、演示，但在诈骗分子手中却变成了举向受害者的一把枪，用此来窥取其个人重要信息，大家一定要提高警惕，谨防个人信息泄露。>>详细

只差一步！农行小姐姐及时出手

诈骗手段复杂多样，诈骗方法五花八门，电信诈骗不可信，小心防范是关键。>>详细

面对电信诈骗，这家银行竖起防线

有借款需求的消费者，要从正规机构、正规渠道办理贷款业务，不要给电信网络诈骗可乘之机，警惕向无关账户的转账要求，防范被骗取资金风险。>>详细

消保小课堂丨提高风险防范意识 维护自身合法权益

当下，网络诈骗事件频发，个人金融信息安全面临严峻挑战。不少金融消费者由于个人信息安全保护意识淡薄，被不法分子诈骗，造成资金财产损失。>>详细

银警联动识破“杀猪盘”，为聋哑老人挽回3万余元

兴业银行昆山花桥支行工作人员敏锐的风险识别能力是成功拦截这起电信网络诈骗的第一道防火墙。>>详细

【消保课堂】电子银行安全使用指南

随着互联网技术的飞速发展，电子银行服务以其便捷性和高效性，成为了广大银行客户日常金融活动的重要组成部分。安全使用电子银行成为不容忽视的问题。>>详细

【理财科普】识破“洗钱”陷阱，争做理性投资者

理财账户、银行卡不仅是投资者进行金融交易的工具，也是国家进行反洗钱资金监测和经济犯罪案件调查的重要途径。各位投资者要妥善保管本人理财账户，切记不要出租、出借、出售自己的身份证件、银行卡等。>>详细

小课堂|学习《反电信网络诈骗法》

当前电信网络诈骗活动多发高发，严重危害人民群众利益和社会和谐稳定。《反电信网络诈骗法》是预防、遏制、打击电信网络诈骗这一新型犯罪的重要法律。>>详细

安全威胁播报

上周漏洞基本情况

上周（2024年5月13日-19日）信息安全漏洞威胁整体评价级别为中。国家信息安全漏洞共享平台（以下简称CNVD）上周共收集、整理信息安全漏洞696个，其中高危漏洞320个、中危漏洞351个、低危漏洞25个。漏洞平均分值为6.44。上周收录的漏洞中，涉及0day漏洞592个（占85%），其中互联网上出现“ASUS RT-N12+ B1权限提升漏洞、SEMCMS SQL注入漏洞（CNVD-2024-23136）”等零日代码攻击漏洞。

上周重要漏洞安全告警

Apache产品安全漏洞

Apache InLong是美国阿帕奇（Apache）基金会的一站式的海量数据集成框架。提供自动化、安全、可靠的数据传输能力。Apache Zookeeper是一个软件项目，它能够为大型分布式计算提供开源的分布式配置服务、同步服务和命名注册等功能。Apache CXF是一个开源的Web服务框架。该框架支持多种Web服务标准、多种前端编程API等。Apache NimBLE是一个开源蓝牙5.4 堆栈（主机和控制器），完全取代Nordic 芯片组上的专有SoftDevice。它是Apache Mynewt项目的一部分。Apache Ambari是一个应用软件。提供开发用于配置，管理和监视Apache Hadoop集群的软件来简化Hadoop管理。Apache Airflow是一套用于创建、管理和监控工作流程的开源平台。该平台具有可扩展和动态监控等特点。Apache Kylin是一款开源的分布式分析型数据仓库。该产品主要提供Hadoop/Spark之上的SQL查询接口及多维分析（OLAP）等功能。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取znodes的完整路径信息，通过发送特制请求，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Apache InLong代码执行漏洞（CNVD-2024-22229）、Apache ZooKeeper信息泄露漏洞（CNVD-2024-22232）、Apache CXF服务器端请求伪造漏洞、Apache NimBLE拒绝服务漏洞、Apache Ambari跨站脚本漏洞（CNVD-2024-22235）、Apache Airflow信息泄露漏洞（CNVD-2024-22234）、Apache Kylin信息泄露漏洞（CNVD-2024-22238）、Apache Ambari代码注入漏洞。其中，“Apache InLong代码执行漏洞（CNVD-2024-22229）、Apache NimBLE拒绝服务漏洞、Apache Kylin信息泄露漏洞（CNVD-2024-22238）、Apache Ambari代码注入漏洞”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

IBM产品安全漏洞

IBM Cognos Controller是美国国际商业机器（IBM）公司的一套商业智能与计划解决方案。该产品具有流程自动化、财务审计控制、创建和管理财务报告等功能。IBM Aspera是一套基于IBM FASP协议构建的快速文件传输和流解决方案。IBM MQ Appliance是一款用于快速部署企业级消息中间件的一体机设备。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致拒绝服务，提升权限，通过发送特制请求在系统上执行任意命令等。

CNVD收录的相关漏洞包括：IBM Cognos Controller访问控制错误漏洞、IBM Cognos Controller代码执行漏洞、IBM Aspera操作系统命令注入漏洞、IBM Aspera Faspex拒绝服务漏洞、IBM Aspera Faspex权限提升漏洞、IBM MQ Appliance缓冲区溢出漏洞（CNVD-2024-22243）、IBM Aspera Faspex日志信息泄露漏洞、IBM Aspera Faspex加密问题漏洞。其中，“IBM Aspera操作系统命令注入漏洞、IBM MQ Appliance缓冲区溢出漏洞（CNVD-2024-22243）”的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

Adobe产品安全漏洞

Adobe Experience Manager（AEM）是美国奥多比（Adobe）公司的一套可用于构建网站、移动应用程序和表单的内容管理解决方案。该方案支持移动内容管理、营销销售活动管理和多站点管理等。Adobe Lightroom Desktop是一款专业的照片管理和编辑软件，旨在为摄影师和图像编辑人员提供强大的工作流程和编辑工具。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞将恶意脚本注入易受攻击的网页中，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Experience Manager跨站脚本漏洞（CNVD-2024-22221、CNVD-2024-22220、CNVD-2024-22219、CNVD-2024-22225、CNVD-2024-22224、CNVD-2024-22223、CNVD-2024-22226）、Adobe Lightroom Desktop代码问题漏洞。目前，厂商已经发布了上述漏洞的修补程序。

Siemens产品安全漏洞

Siemens Parasolid是一种三维几何建模工具，支持各种技术，包括实体建模、直接编辑和自由曲面/图纸建模。Siemens Tecnomatix Plant Simulation是一个工控设备。利用离散事件仿真的功能进行生产量分析和优化，进而改善制造系统性能。Siemens Solid Edge是一款三维CAD软件。该软件可用于零件设计、装配设计、钣金设计、焊接设计等行业。SIMATIC RTLS Locating Manager用于配置、操作和维护SIMATIC RTLS装置，该装置是一个实时无线定位系统，可提供定位解决方案。上周，上述产品被披露存在多个漏洞，攻击者可利用漏洞窃听和修改传输中的资源，在当前进程的上下文中执行代码等。

CNVD收录的相关漏洞包括：Siemens Parasolid X_T文件越界读取漏洞（CNVD-2024-23105、CNVD-2024-23106）、Siemens Parasolid X_T文件越界写入漏洞、Siemens Tecnomatix Plant Simulation MODEL文件越界写入漏洞、Siemens Solid Edge堆缓冲区溢出漏洞（CNVD-2024-23110）、Siemens Solid Edge越界读取漏洞（CNVD-2024-23111、CNVD-2024-23112）、Siemens SIMATIC RTLS Locating Manager敏感信息明文传输漏洞。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。

NETGEAR DG834G信息泄露漏洞

NETGEAR DG834G是美国网件（NETGEAR）公司的一款无线ADSL防火墙调制解调器。上周，NETGEAR DG834G被披露存在信息泄露漏洞。攻击者可利用该漏洞可以获取设备的管理访问权限。目前，厂商尚未发布上述漏洞的修补程序。

小结

上周，Apache产品被披露存在多个漏洞，攻击者可利用漏洞获取znodes的完整路径信息，通过发送特制请求，在系统上执行任意代码等。此外，IBM、Adobe、Siemens等多款产品被披露存在多个漏洞，攻击者可利用漏洞获取敏感信息，导致拒绝服务，在当前进程的上下文中执行代码等。另外，NETGEAR DG834G被披露存在信息泄露漏洞。攻击者可利用该漏洞可以获取设备的管理访问权限。建议相关用户随时关注上述厂商主页，及时获取修复补丁或解决方案。

中国电子银行网综合CNVD、工银融e行、中国农业银行、中国银行、邮储银行+、兴业银行、广西北部湾银行微生活、宁夏银行、广东农信报道

责任编辑：韩希宇