國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞460個，互聯網上出現“Covid-19 Travel Pass Management System任意文件刪除漏洞、Merchandise Online Store SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

【防范】反詐安全小課堂第一期——釣魚網站和偽冒APP

如果在進入網頁時瀏覽器彈出安全警告，或是提示您當前網站的安全證書無效，不要直接忽略繼續瀏覽，一定要關閉。>>詳細

【提示】企業如何防范電信詐騙？

電信詐騙手法千變萬化，但萬變不離其宗，要牢記“三不一多”原則：未知鏈接不點擊，陌生來電不輕信，個人信息不透露，轉賬匯款多核實。>>詳細

【安全課堂】及時完善個人信息，履行個人反洗錢義務

如您接到銀行提示更新、補錄個人信息的通知，應及時完成個人信息更新，避免影響賬戶的正常使用。>>詳細

智慧反詐 平安守護 平安銀行反詐委員會正式成立

為進一步遏止猖狂橫行的電信網絡詐騙，深化推進和組織反詐工作，平安銀行正式成立防范電信網絡詐騙委員會，全面指導并管理防范電信網絡詐騙工作。>>詳細

找不到U盾的財務人員，云證書只能幫你到這了！

近年來，越來越多銀行引入移動端數字證書解決方案，為企業手機銀行實現功能延展和轉賬提限，成為“企業網銀+U盾”模式的有力補充。>>詳細

實用|看清網貸常見陷阱，莫讓詐騙趁“疫”橫行

在以“高額度”誘惑借款人申請貸款后謊稱其流水太低、綜合評分不足，需要轉賬匯款刷流水，并表示后續這筆錢會同貸款金額一起返還，等刷完流水等審批時，騙子早已逃之夭夭！>>詳細

有溫度的消保丨網戀選我我超甜，又騙感情又騙錢！

網絡交友別輕信，甜言蜜語是套路，投資理財需謹慎，高額回報要警惕。>>詳細

投教賦能丨長沙銀行投教基地開展金融大講堂

長沙銀行投資者教育基地作為全國首家銀行類國家級綜合型投資者教育基地，自成立以來，充分利用“投教+金教”成熟經驗，面向公眾開展形式多樣、寓教于樂的投教活動。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年5月23日-29日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞460個，其中高危漏洞165個、中危漏洞274個、低危漏洞21個。漏洞平均分值為6.04。上周收錄的漏洞中，涉及0day漏洞394個（占86%），其中互聯網上出現“Covid-19 Travel Pass Management System任意文件刪除漏洞、Merchandise Online Store SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

SAP產品安全漏洞

SAP Web dispatcher是Load Balancing 的核心組件，支持負載均衡，提供反向代理的功能，使得外網用戶可以訪問到內部應用。SAP Internet Communication Manager是一個SAP NetWeaver應用程序服務器的組件。用于接收和發送Web請求（HTTP、HTTPS、SMTP）。SAP BusinessObjects Business Intelligence Platform是德國思愛普（SAP）公司的一款完備的商務分析平臺。該平臺集市場領先的SAP數據整合產品、數據管理產品和商務智能 (BI) 產品于一身，可消除系統集成難題，快速、輕松地部署高性能的商務分析軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在客戶端執行JavaScript代碼，導致程序拒絕服務等。

CNVD收錄的相關漏洞包括：SAP Web Dispatcher和Internet Communication Manager緩沖區溢出漏洞、SAP Web Dispatcher和Internet Communication Manager拒絕服務漏洞、SAP NetWeaver Application Server權限提升漏洞、SAP BusinessObjects Business Intelligence Platform XML外部實體注入漏洞、SAP BusinessObjects Business Intelligence Platform跨站腳本漏洞、SAP BusinessObjects Business Intelligence Platform授權問題漏洞、SAP BusinessObjects Business Intelligence platform信息泄露漏洞（CNVD-2022-41313、CNVD-2022-41312）。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Framemaker是美國奧多比（Adobe）公司的一套用于編寫和編輯大型或復雜文檔（包括結構化文檔）的頁面排版軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Framemaker越界寫入漏洞（CNVD-2022-41732、CNVD-2022-41735、CNVD-2022-41734、CNVD-2022-41733、CNVD-2022-41737、CNVD-2022-41736、CNVD-2022-41740）、Adobe Framemaker資源管理錯誤漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Doris是美國阿帕奇（Apache）基金會的一個現代 MPP 分析數據庫產品?？梢蕴峁﹣喢爰壊樵兒透咝У膶崟r數據分析。Apache CouchDB是美國阿帕奇（Apache）基金會的使用Erlang開發的一套面向文檔的數據庫系統。Apache Tika是美國阿帕奇（Apache）基金會的一個集成了POI（使用Java程序對MicrosoftOffice格式文檔提供讀和寫功能的開源函數庫）、Pdfbox（讀取和創建PDF文檔的純Java類庫）并為文本抽取工作提供了統一界面的內容抽取工具集合。Apache ShenYu是美國阿帕奇（Apache）基金會的一個異步的，高性能的，跨語言的，響應式的 API 網關。Apache HTTP Server是美國阿帕奇（Apache）基金會的一款開源網頁服務器。該服務器具有快速、可靠且可通過簡單的API進行擴充的特點。Apache Traffic Server（ATS）是美國阿帕奇（Apache）基金會的一套可擴展的HTTP代理和緩存服務器。Apache DolphinScheduler是美國阿帕奇（Apache）基金會開發的一個分布式去中心化，易擴展的可視化DAG工作流任務調度平臺。致力于解決數據處理流程中錯綜復雜的依賴關系，使調度系統在數據處理流程中開箱即用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞發送無效請求，獲取和修改底層數據庫中的信息，導致進程崩潰等。

CNVD收錄的相關漏洞包括：Apache Doris信息泄露漏洞、Apache CouchDB訪問控制錯誤漏洞、Apache Tika拒絕服務漏洞（CNVD-2022-41633）、Apache ShenYu拒絕服務漏洞、Apache HTTP Server拒絕服務漏洞（CNVD-2022-41639）、Apache Traffic Server輸入驗證錯誤漏洞（CNVD-2022-41636）、Apache DolphinScheduler SQL注入漏洞、Apache HTTP Server緩沖區溢出漏洞（CNVD-2022-41640）。其中，“Apache CouchDB訪問控制錯誤漏洞、Apache HTTP Server緩沖區溢出漏洞（CNVD-2022-41640）” 的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress產品安全漏洞

WordPress是一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞更改插件設置，在客戶端執行JavaScript代碼等。

CNVD收錄的相關漏洞包括：WordPress插件Easy Google Maps跨站腳本漏洞、WordPress Ad Injection plugin跨站腳本漏洞、WordPress Advanced Page Visit Counter plugin SQL注入漏洞、WordPress Tripetto plugin跨站腳本漏洞、WordPress DW Question & Answer Pro plugin跨站請求偽造漏洞、WordPress DW Question & Answer Pro plugin訪問控制錯誤漏洞、WordPress Coming Soon by Supsystic plugin跨站腳本漏洞、WordPress ShortPixel Adaptive Images plugin訪問控制錯誤漏洞。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR816L遠程代碼執行漏洞

D-Link DIR816是一款雙頻路由器。上周，D-Link DIR816L被披露存在遠程代碼執行漏洞，該漏洞源于shareport.php的value參數未能正確過濾構造代碼段的特殊元素。攻擊者可利用此漏洞導致任意代碼執行。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，SAP產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，在客戶端執行JavaScript代碼，導致程序拒絕服務等。此外，Adobe、Apache、WordPress等多款產品被披露存在多個漏洞，攻擊者可利用漏洞發送無效請求，獲取和修改底層數據庫中的信息，更改插件設置，在當前用戶的上下文中執行任意代碼，導致進程崩潰等。另外，D-Link DIR816被披露存在遠程代碼執行漏洞，攻擊者可利用此漏洞導致任意代碼執行。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國金融新聞網、中國農業銀行微銀行、交通銀行公司金融、中信銀行、北京銀行微銀行、快樂長行人、廣東農信報道

責任編輯：韓希宇