國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞578個，互聯網上出現“TOTOLink A830R命令注入漏洞、Home Owners Collection Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

北京銀保監局連發三則風險提示，警惕元宇宙、養老錢詐騙陷阱

北京銀保監局羅列了四種校園不良網絡貸款的套路，包括網絡平臺“零息”貸款陷阱、網絡平臺惡意催收、注銷“校園貸”陷阱以及“元宇宙”“區塊鏈”網絡陷阱。>>詳細

福建銀保監局發布風險提示：關乎數字金融安全隱患

隨著數字金融業務的快速發展，互聯網支付、網絡貸款、上網買理財、買基金等線上服務存在安全隱患值得關注。>>詳細

中銀協發布投保倡議書 構建和諧共贏金融消費關系

引導投資者樹立正確的投資理念，提高風險防范意識，與投資者一起共同維護并形成良好的理財生態環境。>>詳細

事前事中事后預警機制全面守護消費者，多方共建金融業反詐治理體系成效顯著

圍繞金融反詐的社會聯防共治機制建設，不少銀行正開展諸多探索，在事前預防端，在相關部門指引下，他們正推進“反詐知識進社區”活動推廣，傳播大量反詐知識與案例，提升民眾的警惕意識。>>詳細

保護八項合法權益，銀聯相伴讓你更有安全感！

隨著支付手段不斷升級，消費模式也不斷改變，中國銀聯怎么保護消費者的合法權益呢?快跟小安一起來看看。>>詳細

《金融科技產品認證目錄（第二批）》發布，金融API安全誰來守護？

中國金融認證中心（CFCA）已具備API產品檢測能力，同時為提高商業銀行應用程序接口檢測效率，CFCA自主研發了商業銀行應用程序接口安全管理檢測平臺。>>詳細

【民生3·15】電信網絡詐騙如何防范？

作為子女或者父母，除了自己注意防范電信詐騙外，應積極主動向家中老人、未成年人傳遞防詐騙的知識，為我們敬愛的長輩和需要呵護的下--代筑起防詐騙的知識圍墻。>>詳細

溫州銀行丨小Hi說消?！ぐ踩鹑诓恢?.15

作為消費者,除了“日常打假”，更要持續提升自身辨別“真偽”的意識與能力，溫州銀行攜小Hi與您共筑金融安全消費，來一起學習金融消費知識，一起實現快樂、安心的買買買！>>詳細

記者體驗“套娃”式導流 網貸平臺客戶信息安全待加強 銀保監會將開展個人信息保護專項整治

在某平臺注冊過程中，需提供多項個人信息，且平臺方在注冊協議中表示，經用戶授權之后，部分信息可能與第三方平臺共享。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年3月7日-13日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞578個，其中高危漏洞199個、中危漏洞333個、低危漏洞46個。漏洞平均分值為5.99。上周收錄的漏洞中，涉及0day漏洞303個（占52%），其中互聯網上出現“TOTOLink A830R命令注入漏洞、Home Owners Collection Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Huawei產品安全漏洞

Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei AIS-BW80H-00是中國華為（Huawei）公司的一款智能音箱設備。Huawei HarmonyOS是中國華為（Huawei）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。Huawei PCManager是中國華為（Huawei）公司的一套電腦管理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致隨機地址訪問，導致內核死機，將特制數據傳遞給應用程序并在目標系統上執行任意命令等。

CNVD收錄的相關漏洞包括：Huawei Emui和Magic UI整數溢出漏洞、Huawei AIS-BW80H-00命令注入漏洞、Huawei HarmonyOS堆溢出漏洞（CNVD-2022-17398）、Huawei HarmonyOS HAL-Ril數據業務組件越界讀取漏洞、Huawei HarmonyOS數據處理錯誤型漏洞、Huawei HarmonyOS HwNearbyMain組件空指針解引用漏洞、Huawei HarmonyOS空指針解引用漏洞（CNVD-2022-17707）、Huawei PCManager權限提升題漏洞。其中“Huawei Emui和Magic UI整數溢出漏洞、Huawei HarmonyOS堆溢出漏洞（CNVD-2022-17398）、Huawei HarmonyOS空指針解引用漏洞（CNVD-2022-17707）、Huawei PCManager權限提升題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle Enterprise Manager Base Platform是美國甲骨文（Oracle）公司的一套本地管理平臺。該平臺主要用于管理Oracle產品部署。Oracle Communications是美國甲骨文（Oracle）公司的一款產品。為服務提供商和企業提供集成通信和云解決方案，以加速他們的數字化轉型。Oracle MySQL Server是美國甲骨文（Oracle）公司的一款關系型數據庫。Oracle MySQL Cluster是美國甲骨文（Oracle）公司開發的一個寫可擴展、實時、兼容ACID的事務型數據庫。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞對關鍵數據或所有MySQL Server可訪問數據的未經授權的創建、刪除或修改訪問，導致MySQL Server掛起或頻繁重復崩潰等。

CNVD收錄的相關漏洞包括：Oracle Enterprise Session Border Controller拒絕服務漏洞、Oracle Communications Convergence授權問題漏洞、Oracle MySQL Server輸入驗證錯誤漏洞（CNVD-2022-17682、CNVD-2022-17681、CNVD-2022-17685、CNVD-2022-17684、CNVD-2022-17683）、Oracle MySQL Cluster輸入驗證錯誤漏洞（CNVD-2022-17688）。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

Polarion WebClient for SVN是一個SVN客戶端。SINUMERIK MC是一個用于定制機器解決方案的CNC系統。SINUMERIK ONE是一個數字原生數控系統。Siemens RuggedCom ROS是德國西門子（Siemens）公司的一套用于RuggedCom系列交換機中的操作系統。Siemens SINEC NMS是德國西門子（Siemens）公司的一個網絡管理系統 (NMS)，該系統可用于全天候集中監控、管理和配置具有數萬臺設備的工業網絡，包括與安全相關的領域。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過跨站腳本檢索敏感信息，允許經過身份驗證的低權限用戶實現權限提升，使用root權限在設備上執行任意代碼等。

CNVD收錄的相關漏洞包括：Siemens Polarion ALM跨站腳本漏洞、Siemens SINUMERIK MC權限提升漏洞、Siemens RUGGEDCOM ROS堆緩沖區溢出漏洞、Siemens RUGGEDCOM ROS整數溢出漏洞、Siemens RUGGEDCOM ROS跨站腳本漏洞、Siemens SINEC NMS反序列化漏洞、Siemens SINEC NMS權限提升漏洞、Siemens SINEC NMS SQL注入漏洞（CNVD-2022-17792）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

DELL產品安全漏洞

Dell Vnx2 Oe For File是美國戴爾（Dell）公司的一個操作環境。DELL EMC Integrated System是美國戴爾（DELL）公司的一個本地混合云平臺，用于提供基礎架構和平臺即服務。Dell Wyse Management Suite是美國戴爾（DELL）公司的一套用于管理和優化Wyse端點的、可擴展的解決方案。該產品包括Wyse端點集中管理、資產追蹤和自動設備發現等功能。DELL Dell Hybrid Client是美國戴爾（DELL）公司的一個應用軟件。提供一個具有混合云管理功能的客戶端計算軟件。Dell PowerScale OneFS是美國Dell公司的一個操作系統。提供橫向擴展NAS的PowerScale OneFS操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取日志信息，發送一個特殊的請求并在目標系統上執行任意代碼，提升特權并接管系統等。

CNVD收錄的相關漏洞包括：Dell Vnx2 Oe For File安全特征問題漏洞、Dell EMC Integrated System權限提升漏洞、Dell VNX2 OE for File敏感信息泄露漏洞、Dell Vnx2 Oe For File操作系統命令注入漏洞、Dell Wyse Management Suite反序列化漏洞、Dell Hybrid Client訪問控制錯誤漏洞、Dell PowerScale OneFS訪問控制錯誤漏洞、Dell Technologies Dell PowerScale OneFS身份驗證繞過漏洞。除“Dell VNX2 OE for File敏感信息泄露漏洞、Dell PowerScale OneFS訪問控制錯誤漏洞、Dell Technologies Dell PowerScale OneFS身份驗證繞過漏洞”外漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Pybbs跨站腳本漏洞

Pybbs是一個更實用的 Java 開發的社區（論壇）。上周，Pybbs被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Huawei產品被披露存在多個漏洞，攻擊者可利用漏洞導致隨機地址訪問，導致內核死機，將特制數據傳遞給應用程序并在目標系統上執行任意命令等。此外，Oracle、Siemens、DELL等多款產品被披露存在多個漏洞，攻擊者可利用漏洞跨站腳本檢索敏感信息，允許經過身份驗證的低權限用戶實現權限提升，使用root權限在設備上執行任意代碼等。另外，Pybbs被披露存在跨站腳本漏洞。攻擊者可利用該漏洞執行客戶端代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、中國證券報·中證網、證券日報、第一財經、金融界、中國銀聯、中國民生銀行、溫州銀行微銀行報道

責任編輯：韓希宇