國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞413個，互聯網上出現“MetInfo SQL注入漏洞（CNVD-2021-59068）、HuCart跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

想參賽卻沒底？2021信創“大比武”金融場景適配驗證賽道最全答疑來了

“2021信創‘大比武’金融場景適配驗證賽道”由中國電子工業標準化技術協會信息技術應用創新工作委員會指導，CFCA主辦，是入選“2021信創‘大比武’活動”五個賽道中唯一的金融賽道。>>詳細

在家遭“偷窺”，“云、管、端”連接安全性引人憂？物聯網廠商這樣應對！

基于物聯網的信息安全現狀，中國金融認證中心(CFCA)從云平臺、管理端、設備終端切入，提出以“安全認證+安全檢測”雙維度應對方案來規避風險。>>詳細

防范欺詐 | 三招防住網絡騙局，打造最強防御

不貪圖錢財，不眼饞蠅頭小利，要隨時保持清醒頭腦，加強風險防范意識，保護好個人信息，不要讓手機成為詐騙分子行騙的武器。>>詳細

理財防騙指南，這六類騙局要看清！

近來，有關理財投資的話題成為大熱門，人們聚會時也往往在談論哪只基金收益更好、如何選擇高收益基金、到底是買股還是買基？一時間形成全民理財的熱潮。騙子也從中發現生財之道，他們到處撒下詐騙之網，一不小心就有人入套。>>詳細

守護 | 關愛老年生活 防范金融風險

隨著科技和互聯網的發展，新型金融詐騙、非法集資犯罪突出，對老年客戶來說，識騙防詐和抗風險能力都較弱，容易成為犯罪分子實施欺詐的對象。>>詳細

【安全小課堂】這些電信詐騙“關鍵特征”您要牢記！

如果您真的遭遇電信（網絡）詐騙，除了及時辦理掛失賬戶、修改密碼等方式止損外，建議您立即報警，同時保存被騙過程的轉賬截圖、通話記錄、聊天記錄等信息。>>詳細

農商發布 | 警惕！騙子冒充銀行年檢員

多家銀行機構已發現以“銀行年檢”為幌子的詐騙類案件，其終極手段萬變不離其宗，就是冒充“領導”要求轉賬匯款。>>詳細

安全用卡需知道，守好您的錢袋子

賬戶密碼要慎設，動態密碼勿泄露，網絡社交陷阱多，網絡詐騙謹提防，身份驗證防詐騙，安全用卡需牢記，個人信息嚴把守，安全意識記心間。>>詳細

【安全提示】警惕釣魚網站騙取賬戶信息

近日，有不法分子冒用社保部門名義，發短信給市民，稱社保賬戶未上傳電子審核，需要市民點擊鏈接或提供個人相關信息。向持卡人索取社會保障卡卡號、密碼和短信驗證碼等個人信息，誘導持卡人向指定賬戶轉賬，繼而實施詐騙活動。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年8月2日-8日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞413個，其中高危漏洞106個、中危漏洞247個、低危漏洞60個。漏洞平均分值為5.58。上周收錄的漏洞中，涉及0day漏洞248個（占60%），其中互聯網上出現“MetInfo SQL注入漏洞（CNVD-2021-59068）、HuCart跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

NETGEAR產品安全漏洞

NETGEAR WNR3500L等都是美國網件（NETGEAR）公司的產品。WNR3500L是一款無線路由器。NETGEAR D6220是一款無線調制解調器。WN2500RP是一款無線網絡信號擴展器。NETGEAR WAC505等都是美國網件（NETGEAR）公司的一款無線接入點（AP）。NETGEAR R6700等都是美國網件（NETGEAR）公司的一款無線路由器。NETGEAR R7800等都是美國網件（NETGEAR）公司的一款無線路由器。NETGEAR R8000是美國網件（NETGEAR）公司的一款無線路由器。NETGEAR JNR1010等都是美國網件（NETGEAR）公司的一款無線路由器。NETGEAR D7000是一款無線調制解調器。NETGEAR WNR2020是一款無線路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過受影響客戶端向服務器發送非預期的請求，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：多款NETGEAR產品緩沖區溢出漏洞（CNVD-2021-59154、CNVD-2021-59157、CNVD-2021-59166）、多款NETGEAR產品跨站請求偽造漏洞（CNVD-2021-59156、CNVD-2021-59162、CNVD-2021-59165）、NETGEAR R8000緩沖區溢出漏洞、NETGEAR R6700v2、R6800和R6900v2緩沖區溢出漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle E-Business Suite是在原來Application（ERP）基礎上的擴展，包括ERP（企業資源計劃管理）、HR（人力資源管理）、CRM（客戶關系管理）等等多種管理軟件的集合，是無縫集成的一個管理套件。Oracle Workflow是其中的可幫助交付一個完整的工作流管理系統的一系列工具。Oracle Marketing是其中的營銷軟件。Oracle Public Sector Financials (International)擴展了Oracle Financials功能，并為公共部門機構的集成財務管理解決方案提供了基礎。Oracle Collaborative Planning是一個基于Internet的協作解決方案，通過提供跨虛擬供應鏈的協作需求、供應和庫存計劃的高級功能來快速顯著提高供應鏈績效。Oracle Outside In Technology是一套軟件開發工具包 (SDK)，為開發人員提供了一個提取、規范化、清理、轉換和查看600多種非結構化文件格式的內容的綜合解決方案。Oracle Database Server是一個對象一關系數據庫管理系統，提供開放的、全面的、集成的信息管理方法。上周，上述產品被披露存在未授權訪問漏洞，攻擊者可利用漏洞可能導致對關鍵數據或所有Oracle Web Applications Desktop Integrator可訪問數據的未授權創建、刪除或修改訪問，以及對關鍵數據的未授權訪問或對所有Oracle Web Applications Desktop Integrator可訪問數據的完全訪問等。

CNVD收錄的相關漏洞包括：Oracle Outside In Technology存在未授權訪問漏洞、Oracle E-Business Suite未授權訪問漏洞（CNVD-2021-57454、CNVD-2021-57446、CNVD-2021-57443、CNVD-2021-57442、CNVD-2021-57441、CNVD-2021-57440）、Oracle Database Server未授權訪問漏洞（CNVD-2021-57455）。其中“Oracle E-Business Suite未授權訪問漏洞（CNVD-2021-57445、CNVD-2021-57444）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows和Microsoft Windows Server都是美國微軟（Microsoft）公司的產品。Microsoft Windows是一套個人設備使用的操作系統。Microsoft Windows Server是一套服務器操作系統。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞實現遠程代碼執行。

CNVD收錄的相關漏洞包括：Microsoft Windows和Windows Server遠程代碼執行漏洞（CNVD-2021-58239、CNVD-2021-58238、CNVD-2021-58244、CNVD-2021-58243、CNVD-2021-58242、CNVD-2021-58241、CNVD-2021-58246、CNVD-2021-58245）。目前，廠商已經發布了上述漏洞的修補程序。

Foxit產品安全漏洞

Foxit PDF Reader是中國福昕（Foxit）公司的一款PDF閱讀器。上周，上述產品被披露存在遠程代碼執行漏洞，攻擊者可利用漏洞在當前進程的上下文中執行代碼。

CNVD收錄的相關漏洞包括：Foxit PDF Reader遠程代碼執行漏洞（CNVD-2021-59167、CNVD-2021-59171、CNVD-2021-59170、CNVD-2021-59169、CNVD-2021-59168）、Foxit PDF Reader Annotation遠程代碼執行漏洞（CNVD-2021-59175、CNVD-2021-59174、CNVD-2021-59173）。目前，廠商已經發布了上述漏洞的修補程序。

QSAN多款產品訪問控制錯誤漏洞

QSAN SANOS等都是中國QSAN公司的產品。QSAN SANOS是SAN存儲管理操作系統。QSAN XEVO是一款閃存數據管理系統。QSAN Storage Manager是一個NAS操作系統。上周，QSAN多款產品被披露存在訪問控制錯誤漏洞。攻擊者可利用該漏洞發現用戶憑據并通過暴力破解獲得訪問權限。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，NETGEAR產品被披露存在多個漏洞，攻擊者可利用漏洞通過受影響客戶端向服務器發送非預期的請求，導致緩沖區溢出或堆溢出等。此外，Oracle、Microsoft、Foxit等多款產品被披露存在多個漏洞，攻擊者可利用漏洞可能導致對關鍵數據或所有Oracle Web Applications Desktop Integrator可訪問數據的未授權創建、刪除或修改訪問，以及對關鍵數據的未授權訪問或對所有Oracle Web Applications Desktop Integrator可訪問數據的完全訪問，實現遠程代碼執行。另外，QSAN多款產品被披露存在訪問控制錯誤漏洞。攻擊者可利用該漏洞發現用戶憑據并通過暴力破解獲得訪問權限。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、交通銀行、中信銀行、廣發銀行、杭州銀行、成都農商銀行、無錫農村商業銀行、四川農信報道

責任編輯：韓希宇