國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞589個，互聯網上出現“Tenda AC9緩沖區溢出漏洞、D-Link DIR-816 A2命令注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

保護個人信息 防范電信網絡詐騙

網絡詐騙花樣多，送禮返利又會說；如果您愛貪小利，陷阱處處等著你。個人信息要保密，不能到處來登記；莫信天上掉餡餅，不起貪念要牢記。>>詳細

【反詐拒賭 安全支付】中國支付清算協會防范“涉疫詐騙”溫馨提示

中國支付清算協會堅持“為人民群眾辦實事”的宗旨，匯總國家反詐中心、會員單位、互聯網絡等發布的相關反詐案例素材，編寫防范“涉疫詐騙”溫馨提示，引導普通老百姓正確認知和防范欺詐風險，牢牢守護人民群眾的錢袋子安全。>>詳細

“斷卡”行動金融懲戒標配：5年內暫停被懲戒人支付賬戶所有業務

近年來，多地公示了“斷卡”行動金融懲戒人員名單，同時，銀行也在加強對賬戶的管理。5年內暫停被懲戒人支付賬戶所有業務成為“斷卡”行動金融懲戒標配。>>詳細

幫忙？幫兇！警惕電詐背后的“幫信”陷阱

信用卡僅限持卡人本人使用，切勿因為一時貪念而把自己銀行卡、賬戶及重要的個人信息出借或出售他人，以免成為犯罪分子的幫兇！>>詳細

【上銀消?！科占敖鹑谥R 共創美好生活

扶助特殊群體，普及金融知識，有你有我！小海豚豚來給您講解金融知識啦！>>詳細

互聯網大廠在郵件安全上“塌房”，釣魚攻擊就這么難防？

企業信息安全體系建設包括兩個核心部分：一個是安全技術，另一個是安全管理。兩者相輔相成，缺一不可。>>詳細

以案說消保|鄭州銀行員工攔截電信詐騙、筑牢金融防線

結合日常培訓掌握的防范電信詐騙知識和識別技巧，鄭州銀行工作人員判定客戶遭遇了電信詐騙，第一時間通知營業室主任并安撫客戶情緒。>>詳細

【小河講反洗錢】教你識破“套路貸”

如確有借款需要，一定要保持理性和警惕，務必從正規合法的金融機構辦理借貸業務，切不可輕信小廣告或者網絡虛假信息。>>詳細

普及|銀行卡安全使用小錦囊

銀行卡作為最重要的支付工具，是大家日常生活中必不可少的幫手。那么，在使用銀行卡時，都要注意什么？快來拆開這些用卡安全小錦囊吧！>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年5月30日-6月5日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞589個，其中高危漏洞219個、中危漏洞322個、低危漏洞48個。漏洞平均分值為6.04。上周收錄的漏洞中，涉及0day漏洞497個（占84%），其中互聯網上出現“Tenda AC9緩沖區溢出漏洞、D-Link DIR-816 A2命令注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Photoshop是美國奧多比（Adobe）公司的一套圖片處理軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe Photoshop輸入驗證錯誤漏洞、Adobe Photoshop越界寫入漏洞（CNVD-2022-42165、CNVD-2022-42164、CNVD-2022-42169、CNVD-2022-42168、CNVD-2022-42167、CNVD-2022-42171、CNVD-2022-42170）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞提升權限。

CNVD收錄的相關漏洞包括：Google Android權限提升漏洞（CNVD-2022-42138、CNVD-2022-42142、CNVD-2022-42141、CNVD-2022-42140、CNVD-2022-42139、CNVD-2022-42143、CNVD-2022-42148、CNVD-2022-42147）。其中，除“Google Android權限提升漏洞（CNVD-2022-42148）、Google Android權限提升漏洞（CNVD-2022-42147）”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

WordPress產品安全漏洞

WordPress是一套使用PHP語言開發的博客平臺。該平臺支持在PHP和MySQL的服務器上架設個人博客網站。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行SQL注入、刪除緩存、刪除源、創建源、上傳惡意文件導致遠程任意代碼執行等操作。

CNVD收錄的相關漏洞包括：WordPress Hermit plugin SQL注入漏洞、WordPress Hermit plugin跨站請求偽造漏洞、WordPress VikBooking Hotel Booking Engine&PMS plugin信息泄露漏洞、WordPress VikBooking Hotel Booking Engine&PMS plugin任意文件上傳漏洞、WordPress Booking Calendar plugin代碼問題漏洞、WordPress Daily Prayer Time plugin SQL注入漏洞、WordPress插件Donations SQL注入漏洞、WordPress插件Users Ultra SQL注入漏洞。其中，除“WordPress Hermit plugin跨站請求偽造漏洞、WordPress VikBooking Hotel Booking Engine&PMS plugin信息泄露漏洞、WordPress Booking Calendar plugin代碼問題漏洞”外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Dell產品安全漏洞

Dell Vnx2Oe For File是美國戴爾（Dell）公司的一個操作環境。Dell PowerEdge Server BIOS是一款系統更新驅動程序。DELL EMC PowerScale是一套適用于非結構化數據的橫向擴展存儲系統。Dell EMC NetWorker是一套統一備份和恢復軟件。該軟件提供備份與恢復、消除重復數據、備份報告等功能。DELL Dell Wyse Management Suite是一套用于管理和優化Wyse端點的、可擴展的解決方案。該產品包括Wyse端點集中管理、資產追蹤和自動設備發現等功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞越權訪問或者覆蓋敏感數據，提升其權限，執行命令等。

CNVD收錄的相關漏洞包括：Dell Vnx2Oe For File路徑遍歷漏洞、Dell OpenManage Enterprise權限提升漏洞（CNVD-2022-42737）、DELL EMC AppSync路徑遍歷漏洞、Dell VNX2 OE for File遠程代碼執行漏洞（CNVD-2022-42739）、Dell PowerEdge緩沖區溢出漏洞、DELL EMC PowerScale代碼問題漏洞、Dell EMC NetWorker信息泄露漏洞（CNVD-2022-42743）、Dell Wyse Device Agent授權問題漏洞。其中，“Dell OpenManage Enterprise權限提升漏洞（CNVD-2022-42737）、Dell VNX2 OE for File遠程代碼執行漏洞（CNVD-2022-42739）、Dell PowerEdge緩沖區溢出漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Asus DSL-N14U-B1拒絕服務漏洞

ASUS DSL-N14U-B1是中國華碩（ASUS）公司的一款路由器設備。上周，ASUS DSL-N14U-B1被披露存在拒絕服務漏洞。攻擊者可利用該漏洞使用nmap之類的工具執行TCP SYN掃描造成拒絕服務 (DoS) 。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。此外，Google、WordPress、Dell等多款產品被披露存在多個漏洞，攻擊者可利用漏洞越權訪問或者覆蓋敏感數據，提升其權限，執行命令，執行SQL注入攻擊，刪除緩存，刪除源，創建源，上傳惡意文件從而遠程執行任意代碼等。另外，ASUS DSL-N14U-B1被披露存在拒絕服務漏洞。攻擊者可利用該漏洞使用nmap之類的工具執行TCP SYN掃描造成拒絕服務 (DoS) 。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、證券日報、中國支付清算協會、中國農業銀行、平安銀行、上海銀行、河北銀行、鄭州銀行、廣東農信報道

責任編輯：韓希宇