國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞569個，互聯網上出現“WordPress插件Survey & Poll SQL注入漏洞、WordPress插件WP Guppy敏感信息泄露漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

深圳銀保監局連發風險提示 提升消費者“涉疫”防詐防騙意識

金融消費者在選擇金融服務時，注意甄別服務主體是否取得金融業務許可，應當選擇正規機構或渠道獲取金融服務。金融消費者要注意個人信息保護，不要輕易將身份證件號碼、賬戶信息、短信驗證碼等關鍵信息告訴他人。>>詳細

工信部：2023年底初步建立車聯網安全體系

到2025年，形成較為完善的車聯網網絡安全和數據安全標準體系。完成100項以上標準的研制，提升標準對細分領域的覆蓋程度，加強標準服務能力，提高標準應用水平，支撐車聯網產業安全健康發展。>>詳細

【消?！?·15靠“浦”說——個人收款碼將停用？警惕！

管好收款碼，守財好辦法。辦理需正規，錢財不易飛。有疑要多提，警惕詐騙局。意識常保持，維權需及時。>>詳細

【315消保教育宣傳周】理性借貸，合理消費

負債(杠桿)是把雙刃劍，運用得當可以提前滿足需求、提升生活品質，過度負債則容易陷 入“拆東墻補西墻”的債務怪圈。>>詳細

【防騙】婦女節科普小課堂，只給您專屬寵愛

要警惕營銷中掩飾風險、隱瞞息費等行為，不要僅因為“免費”“零首付”“限時” 等營銷宣傳套路而輕率購買了不了解、不必要的金融產品。>>詳細

【安全小課堂】關心她，就陪她聊聊這些！

真的關心她，就陪她聊聊這些--怎么防范“她”可能遇到的電信網絡詐騙，因為現在騙子真的太狡猾了! >>詳細

【消費者權益保護】女性金融消保特輯

廣大女性朋友要提高安全防范意識，樹立理性戀愛、理財、消費觀念，切實保護好自己的個人信息，避免落入騙子精心制造的圈套。>>詳細

CFCA大力推廣LEI結合數字身份的產品應用 助力金融標準化建設

CFCA可為客戶代理申請LEI，并將其納入CFCA的數字證書相關產品中，能夠提供包括LEI數字身份、身份認證、數字印章和電子簽名以及相關信息安全等服務。>>詳細

全國政協委員肖鋼：加快構建金融科技倫理治理體系 倫理道德納入企業風控

與傳統金融倫理失范行為相比，金融科技倫理失范主要表現在數據倫理與算法倫理的問題。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年2月28日-3月6日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞569個，其中高危漏洞160個、中危漏洞373個、低危漏洞36個。漏洞平均分值為5.95。上周收錄的漏洞中，涉及0day漏洞298個（占52%），其中互聯網上出現“WordPress插件Survey & Poll SQL注入漏洞、WordPress插件WP Guppy敏感信息泄露漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Illustrator是美國奧多比（Adobe）公司的一套基于向量的圖像制作軟件。上周，上述產品被披露存在越界讀取漏洞，攻擊者可利用漏洞訪問敏感信息。

CNVD收錄的相關漏洞包括：Adobe Illustrator越界讀取漏洞（CNVD-2022-15932、CNVD-2022-15931、CNVD-2022-15934、CNVD-2022-15933、CNVD-2022-15937、CNVD-2022-15936、CNVD-2022-15935、CNVD-2022-15939）。目前，廠商已經發布了上述漏洞的修補程序。

D-Link產品安全漏洞

D-Link Di-7200G是中國友訊（D-Link）公司的一款千兆企業級路由器。上周，上述產品被披露存在命令注入漏洞，攻擊者可利用漏洞執行任意命令。

CNVD收錄的相關漏洞包括：D-Link DI-7200G命令注入漏洞（CNVD-2022-15181、CNVD-2022-15184、CNVD-2022-15183、CNVD-2022-15182、CNVD-2022-15186、CNVD-2022-15185、CNVD-2022-15188、CNVD-2022-15187）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的的一套以Linux為基礎的開源操作系統。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括Google Android競爭條件問題漏洞（CNVD-2022-15197）、Google Android拒絕服務漏洞（CNVD-2022-15196）、Google Chrome訪問控制錯誤漏洞（CNVD-2022-16301）、Google Chrome資源管理錯誤漏洞（CNVD-2022-16302、CNVD-2022-16304、CNVD-2022-16303）、Google Android輸入驗證錯誤漏洞（CNVD-2022-16337）、Google Android緩沖區溢出漏洞（CNVD-2022-16338）。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM Sterling Secure Proxy是IBM公司的一款用于確保組織非保護區（DMZ）中文件安全傳輸的應用程序代理，通過多因素認證、SSL會話中斷、入站防火墻漏洞修補、協議檢查和其他控件來確?？尚艆^域的安全性。IBM i是美國IBM公司的一套運行在IBM Power Systems和IBM PureSystems中的操作系統。IBM OPENBMC OP910是一個POWER8和POWER9模擬器。IBM Tivoli Key Lifecycle Manager（TKLM）是美國IBM公司的一套密鑰生命周期管理軟件。該軟件為存儲設備提供密鑰存儲、密鑰維護和密鑰生命周期管理等功能。IBM QRadar Network Security是美國IBM公司的一個網絡安全管理器。用于提供對網絡上的活動和用戶的更好的可見性和控制，同時使用深度數據包檢查、啟發式和基于行為的分析來檢測和預防高級威脅。IBM AIX（Advanced Interactive eXecutive）是IBM開發的一套UNIX操作系統，也可稱為AIX。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，權限提升，導致系統拒絕服務等。

CNVD收錄的相關漏洞包括：IBM Sterling Secure Proxy緩沖區溢出漏洞、IBM VIOS輸入驗證錯誤漏洞、IBM i緩沖區溢出漏洞、IBM OPENBMC OP910信息泄露漏洞、IBM Tivoli Key Lifecycle Manager信息泄露漏洞（CNVD-2022-15541）、IBM QRadar Network Security信息泄露漏洞（CNVD-2022-15539）、IBM AIX拒絕服務漏洞（CNVD-2022-17018）、IBM AIX輸入驗證錯誤漏洞（CNVD-2022-17017）。目前，廠商已經發布了上述漏洞的修補程序。

Tenda G1 and G3命令注入漏洞（CNVD-2022-16177）

Tenda G1 and G3是中國騰達（Tenda）公司的一個路由器。上周，Tenda G1 and G3被披露存在命令注入漏洞。攻擊者可利用該漏洞通過usbOrdinaryUserName參數執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在越界讀取漏洞，攻擊者可利用漏洞訪問敏感信息。此外，D-Link、Google、IBM等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，權限提升，執行任意代碼，導致拒絕服務等。另外，Tenda G1 and G3被披露存在命令注入漏洞。攻擊者可利用該漏洞通過usbOrdinaryUserName參數執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、證券日報、中國光大銀行、浦發銀行、渤海銀行、杭州銀行、桂林銀行金融服務報道

責任編輯：韓希宇