國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞575個，互聯網上出現“dotCMS跨站腳本漏洞（CNVD-2021-50940）、Halo服務器端請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【養老】詐騙盯上老年人？老年大學帶您識破騙術！

提高金融安全意識，中老年人接到陌生電話做到“三不”：不被獎勵誘惑，不輕信陌生人，不透露個人信息。>>詳細

【反詐】心中時刻牢記法，美好生活頂呱呱

信用卡、銀行賬戶、非銀行支付賬戶、具有支付結算功能的互聯網賬號密碼、網絡支付接口、網上銀行數字證書務必自己保管自己使用，收購、出租、出售、出借上述工具是非法行為。如果電信網絡詐騙犯罪所得及其產生的收益使用上述工具進行轉賬、套現、取現，將被追究刑事責任。>>詳細

CFCA受邀參加跨境人民幣支付領域金融數據交換標準應用試點工作會議

2021年7月，中國人民銀行上?？偛空匍_跨境人民幣支付領域金融數據交換標準應用試點工作會議。>>詳細

CFCA獲評A級！北京國金認證2020年度合作檢測機構評價結果出爐

北京國家金融科技認證中心公布了2020年度移動金融技術服務認證、金融科技產品認證合作檢測機構評價結果，中國金融認證中心（CFCA）獲評A級。>>詳細

【防騙】真命天子暗藏陷阱，“測一測”游戲要警惕

不輕易提供重要敏感信息給他人，不點擊來路不明的網站鏈接，不隨意在除銀行官方渠道之外的網頁填寫重要敏感信息。>>詳細

App索要權限過多，個人信息如何保護？

長期以來，手機APP過度手機用戶個人信息，強制索要用戶授權，如隨意訪問用戶聯系人、短信、記事本、定位信息甚至是銀行卡密碼等重要資產信息，由此發生不少用戶被詐騙事件，互聯網用戶苦“個人信息泄露”久已。>>詳細

【小河講反洗錢】身份識別中的輔助材料

輔助身份證明材料是指銀行在進行客戶身份識別時，通過有效身份證件無法準確判斷開戶申請人身份而要求其出具的其他材料。>>詳細

蒙商智能云廳堂，守護您的財產安全！

為了避免落入騙子的陷阱之中，使用線上存單驗證功能，讓我們及時查詢存單真偽。>>詳細

【守護“錢袋子”】遠離四種APP，保護好錢袋子

利率高到離譜，一看就是網絡投資理財詐騙陷阱，不要被暫時的甜頭迷惑雙眼。>>詳細

叮咚！暑假防范電信詐騙安全小貼士，請查收!

做到“三個不”：不明鏈接不點擊，不明短信不回復，不明賬號不轉賬。妥善保管個人信息，請勿輕易泄露個人證件號碼、銀行卡號及密碼等重要信息。遇到電信詐騙及時撥打96110向國家反詐中心舉報或報警向公安求助。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年7月12日-18日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞575個，其中高危漏洞158個、中危漏洞348個、低危漏洞69個。漏洞平均分值為5.65。上周收錄的漏洞中，涉及0day漏洞360個（占63%），其中互聯網上出現“dotCMS跨站腳本漏洞（CNVD-2021-50940）、Halo服務器端請求偽造漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Media Encoder是一款視頻和音頻編碼應用程序。Adobe Animate是一款多媒體創作和計算機動畫程序。Medium by Adobe是一款VR藝術創作工具。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Adobe Media Encoder越界讀取漏洞（CNVD-2021-49602）、Adobe Animate釋放后重用漏洞、Adobe Animate越界寫入漏洞（CNVD-2021-49604）、Adobe Medium輸入驗證錯誤漏洞、Adobe Animate越界讀取漏洞（CNVD-2021-49606、CNVD-2021-49609、CNVD-2021-49608、CNVD-2021-49607）。其中，“Adobe Media Encoder越界讀取漏洞（CNVD-2021-49602）、Adobe Animate釋放后重用漏洞、Adobe Animate越界寫入漏洞（CNVD-2021-49604）、Adobe Medium輸入驗證錯誤漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco IOS XE是美國Cisco公司為其網絡設備開發的一套基于Linux內核的模塊化操作系統。Cisco Firepower Threat Defense是一套提供下一代防火墻服務的統一軟件。Cisco Adaptive Security Appliance是一個網絡設備。用于保護各種規模的公司網絡和數據中心。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞以root權限在底層操作系統上執行命令，執行未簽名的二進制文件，導致進程崩潰等。

CNVD收錄的相關漏洞包括：Cisco Firepower Threat Defense命令注入漏洞、Cisco Firepower Threat Defense拒絕服務漏洞（CNVD-2021-50578）、Cisco IOS XE快速重載漏洞（CNVD-2021-50584、CNVD-2021-50585）、Cisco Adaptive Security Appliance和Firepower Threat Defense命令注入漏洞、Cisco Adaptive Security Appliance和Firepower Threat Defense拒絕服務漏洞（CNVD-2021-50581、CNVD-2021-50582）、Cisco IOS和IOS XE權限提升漏洞。其中，除“Cisco Adaptive Security Appliance和Firepower Threat Defense拒絕服務漏洞（CNVD-2021-50581）”外的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

NETGEAR產品安全漏洞

NETGEAR WAC505是美國網件（NETGEAR）公司的一款無線接入點（AP）。NETGEAR EX7000是一款無線網絡信號擴展器。NETGEAR R8500是一款無線路由器。NETGEAR R6250等都是美國網件（NETGEAR）公司的一款無線路由器。NETGEAR R8300是一款無線路由器。NETGEAR D6400是一款無線調制解調器。NETGEAR D6220是一款無線調制解調器。NETGEAR D7800是一款無線調制解調器。NETGEAR R7500是一款無線路由器。NETGEAR WNDR3700是一款無線路由器。NETGEAR R6700是一款無線路由器。NETGEAR R7900是一款無線路由器。NETGEAR EX3700是一款無線網絡信號擴展器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過受影響客戶端向服務器發送非預期的請求，繞過身份驗證，執行非法操作系統命令，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：多款NETGEAR產品跨站請求偽造漏洞（CNVD-2021-50917）、多款NETGEAR產品授權問題漏洞（CNVD-2021-50922、CNVD-2021-50918）、多款NETGEAR產品緩沖區溢出漏洞（CNVD-2021-50921、CNVD-2021-50925、CNVD-2021-50924、CNVD-2021-50926）、多款NETGEAR產品命令注入漏洞（CNVD-2021-50928）。其中，“多款NETGEAR產品緩沖區溢出漏洞（CNVD-2021-50925、CNVD-2021-50924）、多款NETGEAR產品命令注入漏洞（CNVD-2021-50928）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Siemens SINAMICS SL150是德國西門子（Siemens）公司的一個應用程序。用于高轉矩慢速同步和感應電動機的循環變頻器。Siemens RuggedCom ROS是一套用于RuggedCom系列交換機中的操作系統。Siemens Jt2go是一款JT文件查看器。Siemens Teamcenter Visualization是一個可為設計2D、3D場景提供團隊協作功能的軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞未經過身份驗證的遠程訪問引起拒絕服務條件，或執行有限的配置修改，或執行有限的控制命令，在當前進程的上下文中執行代碼等。

CNVD收錄的相關漏洞包括：Siemens SINAMICS SL150輸入驗證錯誤漏洞、Siemens RUGGEDCOM ROS Devices緩沖區溢出漏洞、Siemens JT2Go和Teamcenter Visualization堆緩沖區溢出漏洞（CNVD-2021-51449、CNVD-2021-51450）、Siemens JT2Go和Teamcenter Visualization越界寫入漏洞（CNVD-2021-51448、CNVD-2021-51456、CNVD-2021-51451）、Siemens JT2Go和Teamcenter Visualization越界讀取漏洞（CNVD-2021-51452）。其中，“Siemens SINAMICS SL150輸入驗證錯誤漏洞、Siemens RUGGEDCOM ROS Devices緩沖區溢出漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

MikroTik RouterOS內存破壞漏洞（CNVD-2021-49784）

MikroTik RouterOS是拉脫維亞MikroTik公司的一套基于Linux開發的路由器操作系統。該系統可部署在PC中，使其提供路由器功能。上周，MikroTik RouterOS被披露存在內存破壞漏洞。攻擊者可利用該漏洞導致拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，提升權限，執行任意代碼等。此外，Cisco、NETGEAR、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞通過受影響客戶端向服務器發送非預期的請求，繞過身份驗證，以root權限在底層操作系統上執行命令，執行未簽名的二進制文件，導致進程崩潰或緩沖區溢出或堆溢出等。另外，MikroTik RouterOS被披露存在內存破壞漏洞。攻擊者可利用該漏洞導致拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國建設銀行、中國郵政儲蓄銀行、中信銀行、中國光大銀行、河北銀行、貴州銀行、桂林銀行金融服務、蒙商銀行報道

責任編輯：韓希宇