國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞369個，互聯網上出現“AeroCMS跨站腳本漏洞（CNVD-2022-30784）、CxuuCms跨站腳本漏洞（CNVD-2022-31818）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【防騙】見招拆招！假期警惕“防疫”騙局

切記要通過銀行等國家正規金融機構申請貸款，如有疑問請撥打銀行客服電話咨詢，不要輕易掃描來源不明的二維碼。>>詳細

【防騙】警惕社?？ㄏ嚓P電信詐騙，守住咱的錢袋子 ！

任何個人或者機構提出收錢可以代繳社保的，都是詐騙行為或偽造參保的違法行為。>>詳細

以案說險——這些“套路”營銷，你不得不了解

在貸款營銷中，要警惕類似“套路貸”的營銷宣傳行為,這類行為中會存在息費不透明，故意模糊借貸成本，不明示年化綜合資金成本等問題。>>詳細

有溫度的消保 | 疫情期間，小心這些騙局！

疫情防控期間，不法分子以“疫”之名借機斂財，千方百計實施詐騙，大家快來了解一下，謹防被套路！>>詳細

疫情波動，合同線上簽署如何安心實現？

CFCA安心簽電子簽約綜合服務平臺，為企業提供合法、安全、便捷的電子化簽約方式，幫助企業快速實現各類公文、合同、協議全程線上簽署。>>詳細

【安全】不可忽視的個人信息保護！

不法分子在精準掌握用戶個人信息的前提下，能編造出迷惑性更高的詐騙場景，繼而實施欺詐。>>詳細

數據資源“富礦”近在眼前 金融行業數據中心建設如何又快又穩？

數據中心通過CFCA檢測后，將獲得由北京國家金融科技認證中心頒發的《金融行業數據中心基礎設施等級認證服務認證證書》或《金融業信息系統機房動力系統認證服務認證證書》。>>詳細

【消?！肯？俊捌帧?以案說險——散播虛假疫情信息?“警官”要你協助破案

電信詐騙手法從以往單一的詐騙形式開始向復雜多變的手段演化，打著疫情防控的幌子，讓受害人在多層騙局中信以為真。>>詳細

信用卡|如何防范信用卡詐騙？

作為精明的消費者，一定要對信用卡類電信詐騙有足夠的了解，才能避免上當受騙哦。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年4月18日-24日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）本周共收集、整理信息安全漏洞369個，其中高危漏洞110個、中危漏洞219個、低危漏洞40個。漏洞平均分值為5.81。本周收錄的漏洞中，涉及0day漏洞192個（占52%），其中互聯網上出現“AeroCMS跨站腳本漏洞（CNVD-2022-30784）、CxuuCms跨站腳本漏洞（CNVD-2022-31818）”等零日代碼攻擊漏洞。

本周重要漏洞安全告警

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。Google Fscrypt是美國谷歌（Google）公司的一個開源高級工具。用于管理 Linux 本機文件系統加密。Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，升級系統上的權限，執行任意代碼等。

CNVD收錄的相關漏洞包括：Google Android輸入驗證錯誤漏洞（CNVD-2022-31771、CNVD-2022-31845）、Google fscrypt命令注入漏洞、Google Android緩沖區溢出漏洞（CNVD-2022-31836、CNVD-2022-31840）、Google Chrome輸入驗證錯誤漏洞（CNVD-2022-31839）、Google Android權限許可和訪問控制問題漏洞（CNVD-2022-31846、CNVD-2022-31844）。其中，除“Google Android輸入驗證錯誤漏洞（CNVD-2022-31771、CNVD-2022-31836）、Google Chrome輸入驗證錯誤漏洞（CNVD-2022-31839）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ASUS產品安全漏洞

ASUS RT-AX56U是中國臺灣華碩（ASUS）公司的一款無線路由器。ASUS RT-AC86U是中國華碩（ASUS）公司的一款雙頻Wi-Fi路由器。ASUS RT-AC56U是中國華碩（ASUS）公司的一款雙頻Wi-Fi路由器。MyASUS是中國華碩（ASUS）公司的一個華碩官方PC應用程序。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞注入任意SQL代碼來讀取、修改和刪除數據庫，執行任意代碼，執行任意操作或中斷服務等。

CNVD收錄的相關漏洞包括：ASUS RT-AX56U update_json函數路徑遍歷漏洞、ASUS RT-AC56U堆緩沖區溢出漏洞、ASUS RT-AC86U輸入驗證錯誤漏洞、ASUS RT-AX56U堆棧緩沖區溢出漏洞、ASUS RT-AX56U SQL注入漏洞、ASUS RT-AX56U update_PLC/PORT文件路徑遍歷漏洞、ASUS MyASUS權限提升漏洞、ASUS RT-AC86U命令注入漏洞。其中，“ASUS MyASUS權限提升漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

ZOHO產品安全漏洞

ZOHO ManageEngine ServiceDesk Plus（SDP）是美國卓豪（ZOHO）公司的一套基于ITIL架構的IT服務管理軟件。該軟件集成了事件管理、問題管理、資產管理IT項目管理、采購與合同管理等功能模塊。ZOHO ManageEngine Adaudit Plus是美國Zoho Corporation公司的用于簡化審計、證明合規性和檢測威脅。ZOHO ManageEngine Netflow Analyzer是美國卓豪（ZOHO）公司的一套基于Web的帶寬監控工具。該產品主要用于帶寬監控和流量分析。ZOHO ManageEngine SharePoint Manager Plus是美國卓豪（ZOHO）公司的一個完整管理和審計解決方案。ZOHO ManageEngine Desktop Central（DC）是美國卓豪（ZOHO）公司的一套桌面管理解決方案。該方案包含軟件分發、補丁管理、系統配置、遠程控制等功能模塊，可對桌面機以及服務器管理的整個生命周期提供支持。ZOHO ManageEngine Key Manager Plus是卓豪（ZOHO）公司的一套基于WEB的SSH秘鑰管理解決方案。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取供應商貨幣詳細信息，在集成產品上進行經過身份驗證的權限提升，進行遠程代碼執行等。

CNVD收錄的相關漏洞包括：ZOHO ManageEngine ServiceDesk Plus信息泄露漏洞（CNVD-2022-29863）、Zoho ManageEngine ADAudit Plus遠程代碼執行漏洞、Zoho ManageEngine ADAudit Plus權限提升漏洞、Zoho ManageEngine Netflow Analyzer Professional跨站腳本漏洞、ZOHO ManageEngine SharePoint Manager Plus權限提升漏洞、ZOHO ManageEngine SharePoint Manager Plus授權問題漏洞、ZOHO ManageEngine Desktop Central信息泄露漏洞（CNVD-2022-29876）、ZOHO ManageEngine Key Manager Plus信息泄露漏洞。其中，“Zoho ManageEngine ADAudit Plus遠程代碼執行漏洞、ZOHO ManageEngine SharePoint Manager Plus權限提升漏洞、ZOHO ManageEngine SharePoint Manager Plus授權問題漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Oracle產品安全漏洞

Oracle MySQL是美國甲骨文（Oracle）公司的一套開源的關系數據庫管理系統。MySQL Server是其中的一個數據庫服務器組件。MySQL Connectors是其中的一個連接使用MySQL的應用程序的驅動程序。Oracle Commerce是美國甲骨文（Oracle）公司的一套電子商務解決方案。Oracle Virtualization和Oracle VM VirtualBox都是美國甲骨文（Oracle）公司的產品。Oracle Virtualization是一套虛擬化解決方案。該產品用于統一管理從應用程序到磁盤的整個硬件和軟件體系，可實現從桌面到數據中心的虛擬化。VM VirtualBox是其中的一個虛擬機組件。Oracle VM VirtualBox是一款虛擬機管理軟件。Oracle Solaris是美國甲骨文（Oracle）公司的一套UNIX操作系統。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致MySQL Server掛起或頻繁重復崩潰（完全 DOS），執行Oracle VM VirtualBox的基礎設施來破壞Oracle VM VirtualBox等。

CNVD收錄的相關漏洞包括：Oracle MySQL輸入驗證錯誤漏洞（CNVD-2022-31681、CNVD-2022-31688、CNVD-2022-31687、CNVD-2022-31686）、Oracle Virtualization和Oracle VM VirtualBox輸入驗證錯誤漏洞（CNVD-2022-31685）、Oracle Commerce輸入驗證錯誤漏洞（CNVD-2022-31684）、Oracle Virtualization和Oracle VM VirtualBox輸入驗證錯誤漏洞（CNVD-2022-31683）、Oracle Solaris拒絕服務漏洞（CNVD-2022-31682）。其中，“Oracle Commerce輸入驗證錯誤漏洞（CNVD-2022-31684）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux kernel資源管理錯誤漏洞（CNVD-2022-31767）

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。本周，Linux kernel被披露存在資源管理錯誤漏洞。攻擊者可利用該漏洞造成拒絕服務。目前，廠商尚未發布上述漏洞的修補程序。

小結

本周，Google產品被披露存在多個漏洞，攻擊者可利用漏洞訪問敏感信息，升級系統上的權限，執行任意代碼等。此外，ASUS、ZOHO、Oracle等多款產品被披露存在多個漏洞，攻擊者可利用漏洞注入任意SQL代碼來讀取、修改和刪除數據庫，執行任意代碼，執行任意操作或中斷服務等。另外，Linux kernel被披露存在資源管理錯誤漏洞。攻擊者可利用該漏洞造成拒絕服務。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國農業銀行微銀行、交通銀行微銀行、中信銀行、中國光大銀行、浦發銀行、南京銀行、廣東農信報道

責任編輯：韓希宇