國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞679個，互聯網上出現“CSZ CMS跨站腳本漏洞（CNVD-2021-19691）、jsPDF跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

人民銀行召開2021年金融消費權益保護工作電視會議

堅持政治引領、提高政治站位，堅持人民情懷、始終消保為民，堅持守正創新、強化科技賦能，堅持依法履職、完善制度規范，堅持強本固基、促進能力提升，堅持以人為本、打造出色隊伍，持續做好金融消費權益保護工作。>>詳細

央行數字貨幣研究所所長穆長春：數字人民幣技術上可實現小額匿名

使用數字人民幣支付時，我們將用戶的支付信息打包做加密處理，用子錢包的形式推送給電商平臺，平臺是不知道個人信息的，這樣就保證了用戶核心信息的隱私保護。>>詳細

農商消消樂|識別詐騙擦亮眼，嚴防警惕是關鍵

任何要求墊資的兼職和刷單都是詐騙，不要輕信所謂的高額回報，不要輕易點擊陌生鏈接，不在陌生網站留下自己的個人信息。>>詳細

全新交互體驗！全方位安全認證方案助力提升政務服務效能

在機構與個人客戶、企業客戶進行交互的過程中，會涉及數據的傳送，要確保這些數據能防篡改，且需要采取密送的方式進行。最常見的模式為采取SSL安全傳輸機制 。>>詳細

遏制互聯網平臺濫用個人信息 監管機構為數據收集設邊界

中國互聯網行業的發展已經進入到新的階段，但監管滯后，下一步的發展會進入到規范、有序的階段，倡導發展和監管協同，更加明確主體責任。>>詳細

認證難、確權難……供應鏈金融線上交易風險怎么破？

在數字化進程中，用戶假冒、數據竊聽、數據篡改、事后抵賴等問題加大了線上業務的交易風險、技術風險，以及法律風險。>>詳細

宣傳普及金融知識，防范電信網絡詐騙！

騙子都是利用受害人趨利避害和輕信麻痹的心理，誘使受害人上當而實施詐騙犯罪活動的。>>詳細

一邊啃鴨脖一邊辦業務，公積金在線提取便捷又安全

武漢住房公積金管理中心與中國金融認證中心（CFCA）合作，引入先進的無紙化電子簽名系統和網絡身份認證平臺等一系列技術與服務，建設了一套高效便捷的數字化、網絡化、自動化的“智慧公積金”體系。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年3月15日-21日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞679個，其中高危漏洞120個、中危漏洞299個、低危漏洞260個。漏洞平均分值為4.98。上周收錄的漏洞中，涉及0day漏洞427個（占63%），其中互聯網上出現“CSZ CMS跨站腳本漏洞（CNVD-2021-19691）、jsPDF跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Google產品安全漏洞

Chrome是由Google開發的一款設計簡單、高效的Web瀏覽工具，其特點是簡潔、快速。Android是美國Google公司和開放手持設備聯盟（簡稱OHA）共同開發的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面從進程內存中獲取潛在的敏感信息，導致特權的本地升級，而無需其他執行特權，實現遠程代碼執行等。

CNVD收錄的相關漏洞包括：Google Chrome策略執行不足漏洞（CNVD-2021-17299）、Google Chrome安全性UI不正確漏洞（CNVD-2021-17298）、Google Chrome釋放后重用漏洞（CNVD-2021-17300）、Google Android System遠程代碼執行漏洞（CNVD-2021-17303）、Google Android System權限提升漏洞（CNVD-2021-17302）、Google Android System遠程代碼執行漏洞（CNVD-2021-17304）、Google Android Framework權限提升漏洞（CNVD-2021-17306）。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。該軟件主要用于處理圖片。Adobe FrameMaker是一款文檔處理程序，用于編寫和編輯包括結構化文檔在內的大型或復雜文檔。Adobe Connect是一款在線視頻會議軟件。Adobe Animate是美國奧多比（Adobe）公司的一套Flash動畫制作軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞借助惡意文件利用該漏洞導致信息泄露，執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop越界寫入漏洞（CNVD-2021-17735）、Adobe Framemaker越界讀取漏洞（CNVD-2021-17742）、Adobe Connect輸入驗證不當漏洞、Adobe Animate越界讀取漏洞（CNVD-2021-17737、CNVD-2021-17736、CNVD-2021-17740、CNVD-2021-17739）、Adobe Animate內存破壞漏洞（CNVD-2021-17741）。其中“Adobe Photoshop越界寫入漏洞（CNVD-2021-17735）、Adobe Framemaker越界讀取漏洞（CNVD-2021-17742）、Adobe Connect輸入驗證不當漏洞”的綜合評級為“高?！蹦壳?，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Enterprise Financial Services是德國思愛普（SAP）公司的一套企業財務服務解決方案。SAP NetWeaver KnowledgeManagement Configuration Service是德國思愛普（SAP）公司的一款知識管理解決方案配置服務。SAP HANA是德國思愛普（SAP）公司的一套高性能的實時數據分析平臺。SAP MII是德國思愛普（SAP）公司的一個應用軟件。SAP Netweaver是德國思愛普（SAP）公司的一套面向服務的集成化應用平臺。SAP Netweaver ApplicationServer Java是 SAP NetWeaver Application Platform的一部分，其提供用于部署和運行Java應用程序的完整基礎架構。SAP Business Warehouse（BW）是SAP的數據倉庫解決方案。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞將用戶重定向到惡意站點，提升權限，通過遠程啟用功能模塊利用該漏洞注入代碼等。

CNVD收錄的相關漏洞包括：SAP Enterprise FinancialServices權限提升漏洞（CNVD-2021-18017）、SAP NetWeaver Knowledge Management Configuration Service不安全反序列化漏洞、SAP HANA身份驗證繞過漏洞（CNVD-2021-18021）、SAP MII代碼注入漏洞、SAP NetWeaver未授權訪問漏洞、SAP Netweaver ApplicationServer Java反向標簽釣魚漏洞、SAP AS ABAP和SAP S4 HANA身份驗證不當漏洞、SAP Business Warehouse和SAP BW/4HANA代碼注入漏洞。其中“SAP HANA身份驗證繞過漏洞（CNVD-2021-18021）、SAP MII代碼注入漏洞、SAP NetWeaver未授權訪問漏洞、SAP AS ABAP和SAPS4 HANA身份驗證不當漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Red Hat產品安全漏洞

Red Hat Enterprise Linux是美國紅帽（Red Hat）公司的面向企業用戶的Linux操作系統。Red Hat Undertow是美國紅帽（Red Hat）公司的一款基于Java的嵌入式Web服務器，是Wildfly（Java應用服務器）默認的Web服務器。Red Hat Wildfly是美國紅帽（Red Hat）公司的一款基于JavaEE的輕量級開源應用服務器。Red Hat Keycloak是美國紅帽（Red Hat）公司的一套為現代應用和服務提供身份驗證和管理功能的軟件。Red Hat Hibernate ORM是美國紅帽（Red Hat）公司的一款用于編寫應用程序的對象/關系映射（ORM）框架。JPA Criteria API是其中的一個用于查詢功能的API（應用程序編程接口）。Red Hat Satellite是美國紅帽（Red Hat）公司的一套系統管理平臺。Red Hat 3scale APIManagement Platform是美國紅帽（Red Hat）公司的一個API管理的基礎架構平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致緩沖區溢出或堆溢出，通過特殊字符查詢觸發致命錯誤，以觸發拒絕服務，訪問未授權的信息或進行進一步的攻擊等。

CNVD收錄的相關漏洞包括：Red Hat Enterprise Linux資源管理錯誤漏洞（CNVD-2021-19382）、Red Hat Undertow拒絕服務漏洞、Red Hat Wildfly內存泄露漏洞、Red Hat Keycloak跨站腳本漏洞（CNVD-2021-17784）、Red Hat Hibernate ORM SQL注入漏洞、Red Hat Satellite緩沖區溢出漏洞、Red Hat 3scale APIManagement Platform輸入驗證錯誤漏洞、Red Hat Keycloak訪問控制錯誤漏洞（CNVD-2021-19376）。其中“Red Hat Enterprise Linux資源管理錯誤漏洞（CNVD-2021-19382）、Red Hat Undertow拒絕服務漏洞、Red Hat Wildfly內存泄露漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

zzzphp SQL注入漏洞

zzzphp是免費開源的建站系統，主要面對廣大站長使用,不需要授權,可免費商用。上周，zzzphp被披露存在SQL注入漏洞。攻擊者可利用該漏洞執行非法SQL命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心制作的HTML頁面從進程內存中獲取潛在的敏感信息，導致特權的本地升級，而無需其他執行特權，實現遠程代碼執行等。此外，Adobe、SAP、Red Hat等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致信息泄露，執行任意代碼，導致緩沖區溢出或堆溢出，通過特殊字符查詢觸發致命錯誤，以觸發拒絕服務等。另外，Seo Panel被披露存在跨站腳本漏洞。攻擊者可通過archive.php search_name參數利用該漏洞注入JavaScript。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國人民銀行、第一財經、中國證券報·中證網、晉商銀行、上海農商銀行報道

責任編輯：韓希宇