國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞488個，互聯網上出現“UltimateKode Neo Billing跨站腳本漏洞、PHPSHE SQL注入漏洞（CNVD-2021-14156）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

全國人大代表、中國人民銀行參事崔瑜：探索金融數據共享機制

為有效監督個人信息控制者在信息處理環節相關行為，最大程度保障個人合法權益和社會公共利益，建議研究設立相關行業協會自律組織，落實對個人信息控制者的安全審計，強化規范個人信息處理活動的管理監督。>>詳細

全民關注兩會熱議：如何守住個人信息安全？

當前，個人信息安全問題層出不窮，如何守住個人信息安全成為全民關注熱點。中國金融認證中心（CFCA）在信息安全領域具有豐富的實戰經驗，可提供覆蓋個人信息全生命周期的安全服務，助力機構企業安全合規發展。>>詳細

消保錦囊｜嚴防個人信息泄漏，農行來支招！

如今，金融業務網絡化程度飛速提升，便捷金融服務無處不在。個人信息和流量成為最重要的資源，成為各行各業爭搶的“金山銀山”。>>詳細

科普丨315金融安全之“貸款防詐騙指南”

“手續費”、“保證金”、“管理費”、“工本費”、“驗證金”、“先交幾百元，放款幾萬塊”、“打款到指定賬戶驗證還款能力”等皆是騙局！>>詳細

【知識】陽光消保 | 依法求償要理性

金融機構應當切實履行金融消費者投訴處理主體責任，在機構內部建立多層級投訴處理機制，完善投訴處理程序，建立投訴辦理情況查詢系統，提高金融消費者投訴處理質量和效率，接受社會監督。>>詳細

金融信息安全早知道 之二

下載安裝App或在第三方辦理業務時，留意相關授權權限，仔細閱讀相關協議和合同條款，審慎填寫個人信息，避免重要信息被過度搜集或非法使用。>>詳細

【安全小課堂】法人信息年檢？這種釣魚方式你可能沒見過

近期詐騙分子不僅冒充“市場監管部門”，還冒充多家銀行名義，以銀行卡過期、手機銀行失效，手機存檔信息到期等名義批量發送釣魚短信。>>詳細

這些個人銀行賬戶知識，你知道嗎？

在電信網絡詐騙案件高發的形勢下，如何防范電信網絡詐騙、保護賬戶資金安全？>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年3月1日-7日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞488個，其中高危漏洞196個、中危漏洞244個、低危漏洞48個。漏洞平均分值為6.11。上周收錄的漏洞中，涉及0day漏洞208個（占43%），其中互聯網上出現“UltimateKode Neo Billing跨站腳本漏洞、PHPSHE SQL注入漏洞（CNVD-2021-14156）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

DELL產品安全漏洞

Dell EMC PowerScale OneFS是一款由API驅動的文件系統。Dell EMC Isilon OneFS和Dell EMC PowerScale OneFS都是美國戴爾（DELL）公司的一套適用于非結構化數據的橫向擴展存儲系統。Dell EMC SourceOne是一個強大的歸檔解決方案，用于處理來自不同協作和消息系統的電子郵件、文件和數據。 DELL Dell EMC OpenManageServer Administrator是美國DELL公司的一套系統管理解決方案。該方案支持在線診斷、系統運行情況檢測、設備管理等。Microsoft Windows是美國Microsoft公司的一種桌面操作系統。DELL Dell EMC AvamarServer是美國戴爾（DELL）公司的一套用于服務器的完全虛擬化的備份和恢復軟件。Dell EMC PowerScale OneFS是一款由API驅動的文件系統。Dell EMC PowerStore是美國戴爾（Dell）公司的一款存儲設備。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在應用程序的底層OS上執行任意OS命令，將權限提升到root用戶，獲取受影響系統的管理員訪問權限。

CNVD收錄的相關漏洞包括：Dell EMC PowerScale OneFS操作系統命令注入漏洞、Dell EMC Isilon OneFS和DellEMC PowerScale OneFS權限提升漏洞、Dell EMC SourceOne跨站腳本漏洞、Dell EMC OpenManage Server Administrator身份驗證繞過漏洞、Dell EMC Avamar Server授權問題漏洞、Dell EMC PowerScale OneFS權限提升漏洞（CNVD-2021-13937、CNVD-2021-13938）、Dell EMC PowerStore信息泄露漏洞（CNVD-2021-13943）。其中， “Dell EMC PowerScale OneFS操作系統命令注入漏洞、Dell EMC Isilon OneFS和DellEMC PowerScale OneFS權限提升漏洞、Dell EMC SourceOne跨站腳本漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地特權升級，實現遠程代碼執行，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Google Android System權限提升漏洞（CNVD-2021-13687、CNVD-2021-13691、CNVD-2021-13690）、Google Android System遠程代碼執行漏洞（CNVD-2021-13692）、Google Chrome PDFium代碼執行漏洞、Google Chrome Blink代碼執行漏洞（CNVD-2021-14180）、Google Chrome安全繞過漏洞（CNVD-2021-14179）、Google Chrome性能API安全繞過漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Magento是Adobe公司旗下一款用PHP編寫的開源電子商務平臺。Magento Community Edition是社區版，后改稱Magento Open Source，MagentoEnterprise Edition是企業版，后改稱Magento Commerce。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞未經授權訪問受限資源，執行任意代碼，在瀏覽器中執行任意JavaScript等。

CNVD收錄的相關漏洞包括：Adobe Magento用戶會話無效化不足漏洞（CNVD-2021-13915、CNVD-2021-13916）、Adobe Magento安全繞過漏洞（CNVD-2021-13928、CNVD-2021-13929）、Adobe Magento命令注入漏洞、Adobe Magento跨站腳本漏洞（CNVD-2021-13917）、Adobe Magento XML注入漏洞（CNVD-2021-13921）、Adobe Magento不當授權漏洞（CNVD-2021-13920）。其中，“Adobe Magento用戶會話無效化不足漏洞（CNVD-2021-13915、CNVD-2021-13916）、Adobe Magento安全繞過漏洞（CNVD-2021-13928、CNVD-2021-13929）、Adobe Magento命令注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

HCL產品安全漏洞

HCL Notes是印度HCL公司的一個本地電子郵件客戶端。HCL Domino是印度HCL公司的一套企業級應用程序開發平臺。HCL Digital Experience是印度HCL公司的一套數字體驗平臺，內容交付解決方案。HCL iNotes是用于訪問HCLDomino郵件、聯系人、日歷、計劃和協作功能的瀏覽客戶端。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞誘使最終用戶輸入敏感信息，導致程序崩潰或將代碼注入系統，代碼將以當前登錄用戶的權限執行，使Domino崩潰或在服務器系統上執行攻擊者控制的代碼等。

CNVD收錄的相關漏洞包括：HCL Notes棧緩沖區溢出漏洞、HCL Domino緩沖區溢出漏洞、HCL Digital Experience信息泄露漏洞、HCL iNotes標簽釣魚漏洞、HCL Notes Email Compose緩沖區溢出漏洞、HCL Digital Experience訪問控制錯誤漏洞、HCL Domino登錄跨站請求偽造漏洞、HCL Domino安全策略繞過漏洞。其中“HCL Notes棧緩沖區溢出漏洞、HCL Domino緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Typora跨站腳本漏洞（CNVD-2021-14407）

Typora是一款編輯器。上周，Typora被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行遠程代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，DELL產品被披露存在多個漏洞，攻擊者可利用漏洞在應用程序的底層OS上執行任意OS命令，將權限提升到root用戶，獲取受影響系統的管理員訪問權限。此外，Google、Adobe、HCL等多款產品被披露存在多個漏洞，攻擊者可利用漏洞未經授權訪問受限資源，導致本地特權升級，實現遠程代碼執行，導致拒絕服務等。另外，Typora被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行遠程代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國證券報·中證網、中國農業銀行、廣發銀行、中國民生銀行、中國光大銀行、杭州銀行、泉州銀行報道

責任編輯：韓希宇