國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞576個，互聯網上出現“Snipe-IT跨站腳本漏洞（CNVD-2022-19845）、PeteReport跨站請求偽造漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

20年安全支付有溫度 銀聯智能風控守護百姓“錢袋子”

近年來，順應風險形勢新變化和產業數字化轉型趨勢，銀聯致力于建設一體化智能風控系統，迭代升級欺詐交易防控、涉賭交易分析、計量評分、反洗錢偵測、營銷風險管控、境外風險管理等風險子系統。>>詳細

工行筑牢大數據智能反詐“防護墻”

工商銀行自主研發的“融安e信”大數據風控智能服務平臺，通過與公安機關開展風險信息共享合作，建立了專門的涉詐黑名單庫，并與銀行業務系統自動對接，支持業務風險前置預警攔截，有效防范外部欺詐風險。>>詳細

金融科技助力反欺詐 建設銀行守護群眾錢袋子安全

構筑全面、主動、智能的網絡金融風險防控體系，是維護客戶資金安全、營造良好金融生態的重要保障。>>詳細

津宣傳 | 賬戶安全篇——優化服務 安全支付

請勿出租、出借、買賣手機卡、銀行卡(賬戶)、身份證件，警惕他人使用您的實名手機卡、銀行卡(賬戶)、身份證件，一旦為他人利用，可能用于實施電信詐騙或網絡賭博等犯罪行為。經公安機關認定，將依法追究刑事責任。>>詳細

【防騙】這份防詐騙手冊，千萬別錯過

不要輕易相信非官方渠道發布的短信內容。不要點擊來路不明的鏈接。不要相信非官方號碼的客服人員。>>詳細

書同文，車同軌，證同??！CFCA電子印章助力電子證照互通互認

實現電子證照、印章互通互認的要點，在于政務應用中電子印章、CA證書標準規范的統一、互通互認機制的建立。>>詳細

網絡釣魚識別與防范！

企業通過技術手段在一定程度上能保護員工免受大型釣魚攻擊的威脅，但并不是解決問題的根本，更關鍵的是員工安全意識加強和培養。>>詳細

提示 | “征信修復”不可信，發生逾期莫恐慌！

一些不法分子打著“征信修復”“征信洗白”的旗號，教唆信息主體委托其辦理征信投訴、舉報等事項，以此牟取不正當利益，擾亂正常金融秩序。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年3月14日-20日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞576個，其中高危漏洞172個、中危漏洞340個、低危漏洞64個。漏洞平均分值為5.81。上周收錄的漏洞中，涉及0day漏洞289個（占50%），其中互聯網上出現“Snipe-IT跨站腳本漏洞（CNVD-2022-19845）、PeteReport跨站請求偽造漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

TP-Link產品安全漏洞

TP-Link TL-WR886N是中國普聯（TP-Link）公司的一款路由器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞使應用程序崩潰，在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：TP-Link TL-WR886N緩沖區溢出漏洞（CNVD-2022-20072、CNVD-2022-20075、CNVD-2022-20074、CNVD-2022-20073、CNVD-2022-20077、CNVD-2022-20076）、TP-Link TL-WR886N棧溢出漏洞（CNVD-2022-20081、CNVD-2022-20080）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Fortinet產品安全漏洞

Fortinet FortiMail是美國飛塔（Fortinet）公司的一套電子郵件安全網關產品。該產品提供電子郵件安全防護和數據保護等功能。Fortinet FortiWeb是美國飛塔（Fortinet）公司的一款Web應用層防火墻，它能夠阻斷如跨站點腳本、SQL注入、Cookie中毒、schema中毒等攻擊的威脅，保證Web應用程序的安全性并保護敏感的數據庫內容。Fortinet FortiExtender是美國飛塔（Fortinet）公司的一款無線WAN（廣域網）擴展器設備。Fortinet FortiClientEms是美國Fortinet公司的一個集中式中央管理系統。Fortinet FortiNAC是美國飛塔（Fortinet）公司的一套網絡訪問控制解決方案。該產品主要用于網絡訪問控制和物聯網安全防護。Fortinet FortiProxy SSL VPN是美國Fortinet公司的一個應用軟件。提供了一個入侵檢測功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞對其進行解密并顯示或更改其內容，在設備文件系統中執行任意文件和目錄刪除，通過特制的命令執行任意代碼等。

CNVD收錄的相關漏洞包括：Fortinet FortiMail跨站腳本漏洞（CNVD-2022-19073）、Fortinet FortiWeb路徑遍歷漏洞（CNVD-2022-19072）、Fortinet FortiExtender命令注入漏洞、Fortinet FortiClientEms代碼問題漏洞、Fortinet FortiNAC權限提升漏洞、Fortinet FortiProxy SSL VPN跨站請求偽造漏洞、Fortinet FortiWeb緩沖區溢出漏洞（CNVD-2022-19074）、Fortinet FortiMail加密問題漏洞。其中，“Fortinet FortiWeb路徑遍歷漏洞（CNVD-2022-19072）、Fortinet FortiExtender命令注入漏洞、Fortinet FortiClientEms代碼問題漏洞、Fortinet FortiNAC權限提升漏洞” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Huawei產品安全漏洞

Huawei Emui是一款基于Android開發的移動端操作系統。Magic Ui是一款基于Android開發的移動端操作系統。Huawei eCNS280_TD是中國華為（Huawei）公司的無線寬帶集群系統的核心網設備。Huawei ESE620X vESS是中國華為（Huawei）公司的一個虛擬企業服務控制器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過目標系統上的授權過程，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Huawei Emui和Magic UI緩沖區溢出漏洞（CNVD-2022-20296）、Huawei Emui和Magic UI堆緩沖區溢出漏洞、Huawei Emui和Magic UI拒絕服務漏洞（CNVD-2022-20298）、Huawei Emui和Magic UI類型混淆漏洞、Huawei Emui和Magic UI IFAA模塊越界讀取漏洞、Huawei Emui和Magic UI camera組件空指針解引用漏洞、Huawei eCNS280_TD和ESE620X vESS授權問題漏洞、Huawei eCNS280_TD和ESE620X vESS越界讀取漏洞。其中，“Huawei Emui和Magic UI緩沖區溢出漏洞（CNVD-2022-20296）、Huawei Emui和Magic UI堆緩沖區溢出漏洞、Huawei Emui和Magic UI拒絕服務漏洞（CNVD-2022-20298）、Huawei Emui和Magic UI IFAA模塊越界讀取漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android Automotive Os是美國谷歌（Google）公司的一種直接在車載硬件上運行的操作系統和平臺。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制，在系統上執行任意代碼或造成拒絕服務情況等。

CNVD收錄的相關漏洞包括：Google Android Automotive Os信息泄露漏洞、Google Chrome安全特征問題漏洞（CNVD-2022-20550）、Google Chrome GPU代碼執行漏洞（CNVD-2022-20554）、Google Chrome Mojo整數溢出漏洞、Google Chrome Animation代碼執行漏洞、Google Chrome安全特征問題漏洞（CNVD-2022-20551）、Google Chrome Tab Groups緩沖區溢出漏洞、Google Chrome Webstore API代碼執行漏洞。其中，除“Google Android Automotive Os信息泄露漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Tenda AX12緩沖區溢出漏洞

Tenda AX12是中國騰達（Tenda）公司的一款雙頻千兆Wifi 6無線路由器。上周，Tenda AX12被披露存在緩沖區溢出漏洞。該漏洞源于函數sub_422CE4中包含堆棧緩沖區溢出。攻擊者可利用該漏洞通過strcpy參數引發拒絕服務 (DoS)。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，TP-Link產品被披露存在多個漏洞，攻擊者可利用漏洞使應用程序崩潰，在系統上執行任意代碼。此外，Fortinet、Huawei、Google等多款產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，繞過安全限制，在系統上執行任意代碼，導致拒絕服務等。另外，Tenda AX12被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞通過strcpy參數引發拒絕服務 (DoS)。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、金融時報-中國金融新聞網、中國銀聯、中國建設銀行、交通銀行普惠金融、天津銀行、南京銀行、廣西北部灣銀行微生活報道

責任編輯：韓希宇