國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞534個，互聯網上出現“Wordpress插件Download From Files任意文件上傳漏洞、WordPress Popular Posts遠程代碼執行漏洞（CNVD-2021-102873）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

網絡安全審查范圍框定，境外上市規則逐步明確

掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。>>詳細

國家互聯網信息辦公室等四部門發布《互聯網信息服務算法推薦管理規定》

《規定》明確，應用算法推薦技術，是指利用生成合成類、個性化推送類、排序精選類、檢索過濾類、調度決策類等算法技術向用戶提供信息。>>詳細

【安全】妥善使用銀行卡，這些常識要了解

銀行卡的用卡常識覆蓋多個方面，包括辦卡安全、支付安全、資金安全、個人信息安全、征信安全等常識。>>詳細

第三方支付安全產品應用，讓數據零風險，支付更安心

CFCA憑借多年在金融行業信息安全領域的研究和實踐經驗，為第三方支付行業搭建了全方位的信息安全綜合服務體系，研發了一整套基于多種密碼算法（包括國產密碼算法）的安全應用產品。>>詳細

【消?！勘３中庞糜涗?，不要忽視這些小事

“人無信不立，業無信不興”，未來社會，大數據技術不斷深化發展，可以預見，個人征信將在越來越多的生活工作領域發揮重要作用，愿大家都能維護好自己的信用記錄。>>詳細

認清洗錢的“坑”，遠離洗錢的“惡”！

洗錢手段層出不窮，對社會危害極大。作為守法公民，我們能為反洗錢建設做些什么呢？六個小貼士送給大家。>>詳細

移動支付風險普及 | 如何讓老年人提高風險防范意識？

警惕假冒的虛假短信、微信、郵件等廣告，不要點擊不明鏈接，目前各類電信詐騙手段不斷翻新，顯現高智商、高隱蔽性等特點，很多情況下容易被忽視或存在漏洞與風險。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2021年12月27日-2022年1月2日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞534個，其中高危漏洞139個、中危漏洞320個、低危漏洞75個。漏洞平均分值為5.68。上周收錄的漏洞中，涉及0day漏洞197個（占37%），其中互聯網上出現“Wordpress插件Download From Files任意文件上傳漏洞、WordPress Popular Posts遠程代碼執行漏洞（CNVD-2021-102873）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Magento是Adobe公司旗下一款用PHP編寫的開源電子商務平臺。Adobe Framemaker是美國奧多比（Adobe）公司的一套用于編寫和編輯大型或復雜文檔（包括結構化文檔）的頁面排版軟件。Adobe Acrobat Reader是美國奧多比（Adobe）公司的一款PDF查看器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，繞過安全特性，提升權限，執行任意代碼，導致緩沖區溢出或堆溢出等。

CNVD收錄的相關漏洞包括：Adobe Magento輸入驗證錯誤漏洞（CNVD-2021-102806、CNVD-2021-102805、CNVD-2021-102809、CNVD-2021-102808、CNVD-2021-102807）、Adobe Framemaker緩沖區溢出漏洞（CNVD-2021-102813、CNVD-2021-102812）、Adobe Acrobat Reader路徑遍歷漏洞。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco IOS XR Software是美國思科（Cisco）公司的一套為其網絡設備開發的操作系統。Cisco Small Business RV Series Routers是美國思科（Cisco）公司的一款RV系列路由器。Cisco Unified Communications Manager是美國思科（Cisco）公司的一款統一通信系統中的呼叫處理組件。該組件提供了一種可擴展、可分布和高可用的企業IP電話呼叫處理解決方案。Cisco Anyconnect Secure Mobility Client是美國思科（Cisco）公司的一款用于安全連接的VPN客戶端軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞向服務器發送非預期的請求，在受影響的設備上升級特權，執行任意命令等。

CNVD收錄的相關漏洞包括：Cisco IOS XR Software任意文件讀寫漏洞、Cisco IOS XR Software命令注入漏洞（CNVD-2021-102364）、Cisco IOS XR Software權限提升漏洞（CNVD-2021-102362、CNVD-2021-102367）、Cisco IOS XR Software拒絕服務漏洞（CNVD-2021-102366）、Cisco Small Business RV Series Routers命令注入漏洞、Cisco Unified Communications Manager跨站請求偽造漏洞（CNVD-2021-103095）、Cisco AnyConnect Secure Mobility Client權限提升漏洞（CNVD-2021-103367）。其中，“Cisco IOS XR Software任意文件讀寫漏洞、Cisco IOS XR Software權限提升漏洞（CNVD-2021-102362）、Cisco Small Business RV Series Routers命令注入漏洞、Cisco AnyConnect Secure Mobility Client權限提升漏洞（CNVD-2021-103367）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei HarmonyOS是中國華為（Huawei）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，刪除任意文件，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Huawei Emui和Magic UI數據處理錯誤漏洞、Huawei HarmonyOS數組越界漏洞、Huawei HarmonyOS越界讀取漏洞（CNVD-2021-102855、CNVD-2021-103539）、Huawei HarmonyOS堆溢出漏洞、Huawei HarmonyOS路徑遍歷漏洞（CNVD-2021-103534、CNVD-2021-103541）、Huawei HarmonyOS整數溢出漏洞（CNVD-2021-103536）。其中，除“Huawei HarmonyOS路徑遍歷漏洞（CNVD-2021-103534、CNVD-2021-103541）、Huawei HarmonyOS越界讀取漏洞（CNVD-2021-103539）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Solaris是一款類Unix操作系統。Oracle Transportation Management (OTM)為公司提供了一個單一平臺來管理整個供應鏈中的所有運輸活動。Java SE是Java平臺標準版的簡稱，用于開發和部署桌面、服務器以及嵌入設備和實時環境中的Java應用程序。Oracle HTTP Server是Oracle Fusion Middleware的Web服務器組件。Oracle Hyperion Financial Reporting是一款財務報表生成軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，進行未經授權的更新、插入或刪除訪問等。

CNVD收錄的相關漏洞包括：Oracle Solaris拒絕服務漏洞（CNVD-2021-102406、CNVD-2021-102407）、Oracle Transportation Management未授權訪問漏洞（CNVD-2021-102408、CNVD-2021-102409）、Oracle Java SE未授權訪問漏洞、Oracle HTTP Server未授權訪問漏洞（CNVD-2021-102412、CNVD-2021-102413）、Oracle Hyperion Financial Reporting未授權訪問漏洞。其中，“Oracle HTTP Server未授權訪問漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ZZCMS SQL注入漏洞（CNVD-2021-103084）

ZZCMS是中國ZZCMS團隊的一套內容管理系統（CMS）。上周，ZZCMS被披露存在SQL注入漏洞。該漏洞源于在dl/dl_download.php中注冊普通用戶時缺少對外部輸入SQL語句的驗證。攻擊者可利用該漏洞執行非法SQL命令竊取數據庫敏感數據。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞獲取受影響組件敏感信息，繞過安全特性，提升權限，執行任意代碼，導致緩沖區溢出或堆溢出等。此外，Cisco、Huawei、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞向服務器發送非預期的請求，獲取敏感信息，刪除任意文件，在受影響的設備上升級特權，執行任意命令，導致拒絕服務等。另外，ZZCMS被披露存在SQL注入漏洞。攻擊者可利用該漏洞執行非法SQL命令竊取數據庫敏感數據。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國網信網、第一財經日報、中國工商銀行客戶服務、交通銀行微銀行、浦發銀行、湖北銀行報道

責任編輯：韓希宇