國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞474個，互聯網上出現“CSCMS Music Portal System SQL注入漏洞、Badminton Center Management System SQL注入漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

深圳金融局：虛擬貨幣交易炒作嚴重擾亂經濟金融秩序 謹防上當受騙

深圳市地方金融監督管理局、中國人民銀行深圳市中心支行、深圳市發展和改革委員會提醒廣大投資者對上述非法金融活動保持警惕，謹防上當受騙。>>詳細

投資“元宇宙”？警惕“風口”變“風險”

活動披著元宇宙”的外衣，具有較大誘惑力、較強欺騙性，參與者易遭受財產損失。請社會公眾增強風險防范意識和識別能力，謹防上當受騙。>>詳細

謹慎網購 拒收騙局 | 警惕新套路 防疫要防騙

請勿聽從對方，請勿點擊不明短信鏈接或者網站鏈接，請勿進行轉賬、匯款、掃碼支付等。>>詳細

投資虛擬貨幣高收益？小心掉進詐騙局！

天上不會掉餡餅，小伙伴們要警惕“虛擬貨幣”投資！樹立正確投資理念，不盲目追求高收益。>>詳細

消保小課堂 | 普及金融知識，守住錢袋子

互聯網時代的金融廣告層出不窮，金融產品和服務五花八門，讓人眼花繚亂。但是金融的本質沒有發生變化，金融消費者應通過學習和了解基本的金融知識和技能、培養良好的金融行為習慣和態度，提升自身的金融素養，才能應對不斷變化的金融市場。>>詳細

【防范】警惕以虛擬貨幣、區塊鏈、NFT項目為噱頭的“金融創新”類詐騙

集資的防范能力，警惕以虛擬貨幣、區塊鏈、NFT項目為噱頭的“金融創新”類詐騙，幫助百姓守住錢袋子，護好幸福家。>>詳細

工業重器 安全為重 CFCA“夯實”工業互聯網數據安全

CFCA面向工業互聯網行業的各類工業企業客戶，針對工業互聯網中數據防護弱、身份認證難等安全問題，提供切實符合國家法規、商用密碼標準、符合當下監管要求、成熟可靠的的數據安全解決方案。>>詳細

不可不知的兩種信用卡電信網絡詐騙套路

申請辦理任何可透支的金融類卡時，都會受到申請單位的嚴格審查，并核定金融類卡的消費額度，絕對不會是所謂的“工作人員”承諾您多少就是多少。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年6月13日-19日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞474個，其中高危漏洞146個、中危漏洞284個、低危漏洞44個。漏洞平均分值為5.93。上周收錄的漏洞中，涉及0day漏洞361個（占76%），其中互聯網上出現“CSCMS Music Portal System SQL注入漏洞、Badminton Center Management System SQL注入漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Adobe產品安全漏洞

Adobe Acrobat是一套PDF文件編輯和轉換工具。Adobe Acrobat Reader是一款PDF查看器。該軟件用于打印，簽名和注釋PDF。Adobe InCopy是美國Adobe公司的一款用于創作的文本編輯軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞讀取系統上的敏感信息，在目標系統上執行任意代碼。

CNVD收錄的相關漏洞包括：多款Adobe產品越界讀取漏洞（CNVD-2022-45905、CNVD-2022-45904、CNVD-2022-45906、CNVD-2022-45908、CNVD-2022-45907、CNVD-2022-45910、CNVD-2022-45911）、Adobe InCopy越界寫入漏洞（CNVD-2022-45913）。其中，“多款Adobe產品越界讀取漏洞（CNVD-2022-45906）、Adobe InCopy越界寫入漏洞（CNVD-2022-45913）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Chrome是美國谷歌（Google）公司的一款Web瀏覽器。Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。Bootloader是其中的一個啟動加載程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過精心設計的HTML頁面執行沙盒逃逸，導致權限提升，造成應用拒絕服務等。

CNVD收錄的相關漏洞包括：Google Chrome資源管理錯誤漏洞（CNVD-2022-44716、CNVD-2022-44715、CNVD-2022-44718、CNVD-2022-44717、CNVD-2022-44720、CNVD-2022-44719）、Google Android拒絕服務漏洞（CNVD-2022-45914）、Google Android權限提升漏洞（CNVD-2022-45915）。其中，“Google Android權限提升漏洞（CNVD-2022-45915）”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Cisco產品安全漏洞

Cisco Firepower Threat Defense是一套提供下一代防火墻服務的統一軟件。Cisco Adaptive Security Appliances Software是一套防火墻和網絡安全平臺。該平臺提供了對數據和網絡資源的高度安全的訪問等功能。Cisco Unified Communications Manager是美國思科（Cisco）公司的一款統一通信系統中的呼叫處理組件。該組件提供了一種可擴展、可分布和高可用的企業IP電話呼叫處理解決方案。Unified Communications Manager Session Management Edition是Unified Communications Manager的會話管理版。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞訪問底層操作系統上的敏感文件，執行任意腳本代碼，造成拒絕服務條件（DoS）等。

CNVD收錄的相關漏洞包括：Cisco Adaptive Security Appliance和Firepower Threat Defense信息泄露漏洞、Cisco Adaptive Security Appliance和Firepower Threat Defense拒絕服務漏洞（CNVD-2022-44686、CNVD-2022-44689）、Cisco Adaptive Security Appliance和Firepower Threat Defense權限提升漏洞、Cisco Unified CM和Unified CM SME任意文件讀取漏洞、Cisco Unified CM和Unified CM SME任意文件寫入漏洞、Cisco Unified CM和Unified CM SME跨站腳本漏洞、Cisco Unified CM和Unified CM SME拒絕服務漏洞。其中，“Cisco Adaptive Security Appliance和Firepower Threat Defense拒絕服務漏洞（CNVD-2022-44686、CNVD-2022-44689）、Cisco Adaptive Security Appliance和Firepower Threat Defense權限提升漏洞、Cisco Unified CM和Unified CM SME任意文件寫入漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Siemens產品安全漏洞

SINEMA Remote Connect是一個遠程網絡管理平臺，可輕松管理總部、服務技術人員和已安裝機器或工廠之間的隧道連接 (VPN)。Mendix SAML Module允許使用SAML對云應用程序中的用戶進行身份驗證。該模塊可以與任何支持SAML2.0或Shibboleth的身份提供者進行通信。Xpedition Enterprise是一款PCB設計流程，提供從系統設計定義到制造執行的集成。SICAM GridEdge只需單擊幾下即可使您現有的IEC61850設備具有物聯網功能。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞創建具有管理權限的新用戶，更改用戶的數據，注入任意代碼并提升權限等。

CNVD收錄的相關漏洞包括：Siemens SINEMA Remote Connect Server用戶管理錯誤漏洞、Siemens SINEMA Remote Connect Server數據真實性驗證錯誤漏洞、Siemens SINEMA Remote Connect Server身份驗證錯誤漏洞、Siemens Mendix SAML Module跨站腳本漏洞、Siemens Xpedition Designer本地權限提升漏洞、Siemens SICAM GridEdge身份驗證錯誤漏洞（CNVD-2022-45216）、Siemens SICAM GridEdge資源泄漏漏洞、Siemens SICAM GridEdge身份驗證錯誤漏洞。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-816 A2命令注入漏洞（CNVD-2022-45933）

D-Link DIR-816 A2是中國臺灣友訊（D-Link）公司的一款無線路由器。上周，D-Link DIR-816 A2被披露存在命令注入漏洞。該漏洞源于/goform/setSysAdm中的admuser和admpass參數未能正確過濾構造命令特殊字符、命令等。攻擊者可利用該漏洞通過精心設計的負載將權限提升到root。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Adobe產品被披露存在多個漏洞，攻擊者可利用漏洞讀取系統上的敏感信息，在目標系統上執行任意代碼。此外，Google、Cisco、Siemens等多款產品被披露存在多個漏洞，攻擊者可利用漏洞訪問底層操作系統上的敏感文件，創建具有管理權限的新用戶，更改用戶的數據，執行任意腳本代碼，導致權限提升，造成拒絕服務條件（DoS）等。另外，D-Link DIR-816 A2被披露存在命令注入漏洞。攻擊者可利用該漏洞通過精心設計的負載將權限提升到root。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、深圳市地方金融監督管理局、中國農業銀行、交通銀行、興業銀行、蒙商銀行、廣州農村商業銀行報道

責任編輯：韓希宇