國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞293個，互聯網上出現“Wordpress Theme Wibar'Brand Component'跨站腳本漏洞、WordPress插件Heroic Knowledge Base SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

工信部如何加強APP個人信息保護？精彩H5帶你快速了解！

工業和信息化部從政策體系、標準制定、專項行動、技術平臺、行業自律等五方面構建了較為完備的綜合治理體系，APP個人信息保護工作取得積極進展。>>詳細

量子安全通話服務明年試點 專家稱普通用戶需求不大

當今世界高度互聯，依靠手機處理和存儲大量的個人數據，移動應用程序也收集了越來越多包括密碼在內的敏感信息，這增加了用戶對于邊緣安全性的需求。>>詳細

中國信通院與數字中國產業發展聯盟聯合發布《2020年數字安全十大產業方向、十大技術賽道研究報告》

經過遴選，2020年數字安全十大產業方向為工業互聯網安全、物聯網安全、關鍵信息基礎設施安全、云安全、人工智能安全、智慧城市安全、5G應用安全、大數據安全、車聯網安全、智慧醫療安全。>>詳細

五部委聯合發布《關于依法嚴厲打擊懲戒治理非法買賣電話卡銀行卡違法犯罪活動的通告》（附全文）

截至目前，全國共打掉“兩卡”違法犯罪團伙4592個，抓獲違法犯罪人員7.1萬名，懲戒5.7萬名非法出租、出借、出售、購買“兩卡”人員，取得了階段性成效。>>詳細

工信部通報下架26款侵害用戶權益APP

依據《網絡安全法》和《移動智能終端應用軟件預置和分發管理暫行規定》（工信部信管〔2016〕407號）等法律和規范性文件要求，工業和信息化部組織對上述26款APP進行下架。>>詳細

【謹防詐騙】防范金融詐騙攻略

年底了，小編梳理一些常見的詐騙小案例，請大家查收并轉發，保護好自己“錢袋子”的最好方法，就是提高防騙意識哦。>>詳細

安全 | 老年人如何防范欺詐？小瀘給你支個招！

人到老年，本應享受天倫之樂，但卻有不少騙子盯上了，老人辛苦積攢的養老錢，利用他們對金融知識的不熟悉，實施欺詐，那么老年人該如何防范呢？這份防騙指南請收下！>>詳細

安全威脅播報

上周漏洞基本情況

上周（12月7日-13日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞293個，其中高危漏洞142個、中危漏洞134個、低危漏洞17個。漏洞平均分值為6.43。上周收錄的漏洞中，涉及0day漏洞195個（占67%），其中互聯網上出現“Wordpress Theme Wibar'Brand Component'跨站腳本漏洞、WordPress插件Heroic Knowledge Base SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

Siemens產品安全漏洞

Siemens LOGO! 8 BM是一個用于工業環境用于Windows平臺的編程軟件。Siemens XHQ是一種軟件平臺，它匯集了工廠或管道運營數據，并對這些數據進行面向目標的處理，然后實時地做出決策，并有效提升工廠或管道運營績效。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，進行跨站請求偽造攻擊等。

CNVD收錄的相關漏洞包括：Siemens LOGO! 8 BM授權問題漏洞、Siemens XHQ跨站請求偽造漏洞（CNVD-2020-70927）、Siemens LOGO! 8 BM信息泄露漏洞、Siemens XHQ SQL注入漏洞、Siemens XHQ跨站腳本漏洞（CNVD-2020-70928、CNVD-2020-70932、CNVD-2020-70931）、Siemens XHQ信息泄露漏洞。其中，除“Siemens LOGO! 8 BM授權問題漏洞、Siemens LOGO! 8 BM信息泄露漏洞、Siemens XHQ信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Universal Work Queue是一種靈活的工作演示和訪問工具。Oracle WebLogic Server是一款適用于云環境和傳統環境的應用服務中間件，它提供了一個現代輕型開發平臺，支持應用從開發到生產的整個生命周期管理，并簡化了應用的部署和管理。Oracle Database Server是一套關系數據庫管理系統。Oracle MySQL是一套開源的關系數據庫管理系統。Oracle Fusion Middleware（Oracle融合中間件）是一套面向企業和云環境的業務創新平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞影響數據的機密性、完整性和可用性。

CNVD收錄的相關漏洞包括：Oracle Universal WorkQueue代碼執行漏洞、Oracle WebLogic ServerConsole遠程代碼執行漏洞、Oracle Database ServerVault component未授權訪問漏洞、Oracle MySQL Server拒絕服務漏洞（CNVD-2020-70270）、Oracle Coherence遠程代碼執行漏洞、Oracle Weblogic Server信息泄露漏洞、Oracle WebCenter Sites信息泄露漏洞、Oracle Access Manager遠程代碼執行漏洞。其中，“Oracle Universal Work Queue代碼執行漏洞、Oracle WebLogic Server Console遠程代碼執行漏洞、Oracle Coherence遠程代碼執行漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

CiscoSD-WAN vManage是一款可提供軟件定義網絡功能的軟件。Cisco IntegratedManagement Controller (IMC)是一個為Cisco UCS C系列機架式服務器和Cisco S系列存儲服務器提供嵌入式服務器管理的基板管理控制器。Cisco Webex Teams是一款綜合通信應用程序，旨在為您提供所有必要的工具和合適的環境以增強團隊協作。Cisco Firepower Management Center（FMC）是新一代防火墻管理中心軟件。Cisco Firepower ThreatDefense是一款提供下一代防火墻服務的統一軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取系統文件，執行任意命令，獲得root用戶特權等。

CNVD收錄的相關漏洞包括：Cisco SD-WAN vManage目錄遍歷漏洞、Cisco SD-WAN Software權限提升漏洞、Cisco Integrated Management Controller命令注入漏洞（CNVD-2020-70859）、Cisco IntegratedManagement Controller授權繞過漏洞、Cisco Webex Teams跨站腳本漏洞、Cisco Firepower Management Center (FMC)跨站腳本漏洞、Cisco Firepower Threat Defense sfmgr命令目錄遍歷漏洞、Cisco IOS和IOS XE輸入驗證錯誤漏洞（CNVD-2020-70878）。其中，“Cisco SD-WAN Software權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Schneider Electric產品安全漏洞

Schneider Electric Interactive Graphical SCADASystem（IGSS）是一套用于監控和控制工業過程的SCADA（數據采集與監控系統）系統。Schneider Electric EcoStruxure Building OperationEnterprise Server是一個企業級樓宇控制系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲得用戶特權，遠程執行代碼。

CNVD收錄的相關漏洞包括：Schneider ElectricInteractive Graphical SCADA System緩沖區溢出漏洞（CNVD-2020-70522、CNVD-2020-70521、CNVD-2020-70525、CNVD-2020-70524、CNVD-2020-70523、CNVD-2020-70530）、Schneider Electric Interactive Graphical SCADA System代碼執行漏洞、Schneider Electric EcoStruxure Building Operation EnterpriseServer本地提權漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Huawei HedEx Lite (DM)路徑遍歷漏洞

Huawei HedEx Lite是一款產品文檔管理器。Huawei HedEx Lite (DM)被披露存在路徑遍歷漏洞。攻擊者可利用漏洞通過遠程請求未經授權更改本地路徑來請求本地文件或資源。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Siemens產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，進行跨站請求偽造攻擊等。此外，Oracle、Cisco、Schneider Electric等多款產品被披露存在多個漏洞，攻擊者可利用漏洞讀取系統文件，執行任意命令，獲得root用戶特權等。另外，Huawei HedEx Lite (DM)被披露存在路徑遍歷漏洞。攻擊者可利用漏洞通過遠程請求未經授權更改本地路徑來請求本地文件或資源。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、工信微報、公安部刑偵局、中國信通院、第一財經、瀘州銀行、上行快線報道

責任編輯：韓希宇