國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞311個，互聯網上出現“Appneta Tcpreplay緩沖區溢出漏洞、Pimcore SQL注入漏洞（CNVD-2022-29569）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

人民銀行有關負責同志參加國新辦打擊治理電信網絡詐騙犯罪工作進展情況發布會

2021年，金融系統識別攔截資金能力明顯上升，成功避免大量群眾受騙，月均涉詐單位銀行賬戶數量降幅92%，個人銀行賬戶戶均涉詐金額下降21.7%。>>詳細

興業銀行鄭州分行：防范網絡電信詐騙 保障客戶資金安全

該行全面貫徹落實總行及監管機構打擊治理電信網絡詐騙的工作要求，積極踐行“支付為民”工作理念，統籌開展賬戶風險防控和優化賬戶服務工作，有力切斷不法分子詐騙資金轉移鏈條，牢牢守住人民群眾的“錢袋子”。>>詳細

有溫度的消保 | 安全用卡，謹防盜刷

正確申請信用卡，辦理進度常跟進，領取之后多觀察，謹慎保管防盜刷。>>詳細

【消費者權益保護】個人金融信息保護小貼士

據研究表明，90%以上的電信詐騙都是從個人信息泄露開始的。在此提醒廣大社會公眾注意保護個人信息，不輕信、不透露、不轉賬、不 參與，預防電信詐騙。>>詳細

普及|用卡安全知識課堂來啦！

保護好網銀系統登錄賬號和密碼等個人信息，不出租、出借、出售個人銀行卡、身份證、網銀口令牌等賬戶存取工具，以免造成經濟損失，并承擔法律責任。>>詳細

樂樂防詐指南丨網絡貸款&刷單返利？小心套路！

所有刷單都是詐騙，千萬不要被蠅頭小利迷惑，千萬不要交納任何保證金和押金！>>詳細

【小河講反洗錢】如何區分流調和詐騙電話

電信詐騙電話號碼一般為國際來電，號碼開頭有“+”，或不顯示歸屬地，或歸屬地顯示“未知”，基本都是詐騙的！別接！>>詳細

如何保護個人金融信息安全

個人金融信息是指金融業機構通過提供金融產品和服務或者其他渠道獲取、加工和保存的個人信息,包括賬戶信息、鑒別信息、金融交易信息、個人身份信息，財產信息、借貸信息及其他反應特定個人某些情況的信息。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年4月11日-17日）信息安全漏洞威脅整體評價級別為中。上周信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞311個，其中高危漏洞108個、中危漏洞177個、低危漏洞26個。漏洞平均分值為6.00。上周收錄的漏洞中，涉及0day漏洞196個（占63%），其中互聯網上出現“Appneta Tcpreplay緩沖區溢出漏洞、Pimcore SQL注入漏洞（CNVD-2022-29569）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

WordPress產品安全漏洞

WordPress是Wordpress基金會的一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在客戶端執行JavaScript代碼，上傳任意文件，竊取數據庫敏感數據等。

CNVD收錄的相關漏洞包括：WordPress插件授權問題漏洞、WordPress Social Sharing plugin跨站腳本漏洞、WordPress Popup Like box plugin跨站腳本漏洞、WordPress Pz-LinkCard plugin跨站腳本漏洞、WordPress Sermon Browser plugin跨站請求偽造漏洞、WordPress Plezi plugin跨站腳本漏洞、WordPress Popup Builder plugin SQL注入漏洞、WordPress Narnoo Distributor plugin路徑遍歷漏洞。其中，“WordPress Popup Builder plugin SQL注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

SCALANCE X switches用于連接可編程邏輯控制器等工業組件(PLC)或人機界面(HMI)。SIPLUS extreme專為在極端條件下可靠運行而設計。Simcenter Femap是一種高級仿真應用程序，用于創建、編輯和檢查復雜產品或系統的有限元模型。SIMATIC PCS neo是一種分布式控制系統 (DCS)。TIA Administrator是一個基于Web的框架。Siemens Network Planner (SINETPLAN) 支持您作為基于 PROFINET 的自動化系統的規劃者。TIA Portal是一款PC軟件。SIMATIC S7-400 CPU系列產品專為工業環境中的過程控制而設計。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在設備上執行任意代碼，導致拒絕服務等。

CNVD收錄的相關漏洞包括：Siemens SCALANCE X-300 Switch Family Devices緩沖區溢出漏洞（CNVD-2022-28480、CNVD-2022-28484、CNVD-2022-28479）、Siemens SCALANCE X-300 Switch Family Devices跨站請求偽造漏洞、Siemens Simcenter Femap存在越界寫入漏洞（CNVD-2022-28488）、Siemens TIA Administrator拒絕服務漏洞、Siemens Simcenter Femap越界讀取漏洞（CNVD-2022-28490）、Siemens SIMATIC S7-400 CPU拒絕服務漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼或造成拒絕服務情況，提升權限等。

CNVD收錄的相關漏洞包括：Google Chrome V8代碼執行漏洞（CNVD-2022-28467）、Google Chrome File System API信息泄露漏洞、Google Android權限提升漏洞（CNVD-2022-28909、CNVD-2022-28911、CNVD-2022-28910、CNVD-2022-28917、CNVD-2022-28915、CNVD-2022-28918）。其中，除“Google Android權限提升漏洞（CNVD-2022-28917、CNVD-2022-28915、CNVD-2022-28918）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows是一款由美國微軟公司開發的窗口化操作系統。Microsoft Office是一款辦公軟件套件產品。該產品常用組件包括Word、Excel、Access、Powerpoint、FrontPage等。Microsoft SharePoint是一套企業業務協作平臺。該平臺用于對業務信息進行整合，并能夠共享工作、與他人協同工作、組織項目和工作組、搜索人員和信息。Microsoft Visual Studio Code是一款開源的代碼編輯器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在目標主機上執行代碼、提升權限等。

CNVD收錄的相關漏洞包括：Microsoft Windows Win32k權限提升漏洞（CNVD-2022-29559、CNVD-2022-29560）、Microsoft Windows Telephony Server權限提升漏洞（CNVD-2022-29562）、Microsoft Windows Upgrade Assistant遠程代碼執行漏洞（CNVD-2022-29561）、Microsoft Office遠程代碼執行漏洞（CNVD-2022-29564）、Microsoft Windows Kernel信息泄露漏洞（CNVD-2022-29563）、Microsoft SharePoint Server欺騙漏洞（CNVD-2022-29567）、Microsoft Visual Studio Code代碼注入漏洞（CNVD-2022-29568）。其中，“Microsoft Windows Win32k權限提升漏洞（CNVD-2022-29559、CNVD-2022-29560）、Microsoft Office遠程代碼執行漏洞（CNVD-2022-29564）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux kernel緩沖區溢出漏洞（CNVD-2022-29295）

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，Linux kernel被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞繞過Linux內核的訪問限制，通過特定內容來讀取或修改數據。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，WordPress產品被披露存在多個漏洞，攻擊者可利用漏洞在客戶端執行JavaScript代碼，上傳任意文件，竊取數據庫敏感數據等。此外，Siemens、Google、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼，提升權限導致拒絕服務等。另外，Linux kernel被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞繞過Linux內核的訪問限制，通過特定內容來讀取或修改數據。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、和訊網、中國人民銀行、中信銀行、渤海銀行、快樂長行人、撫順銀行、河北銀行、廣東農信報道

責任編輯：韓希宇