國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞439個，互聯網上出現“Prison Management System SQL注入漏洞（CNVD-2022-48389）、Sourcecodester Hospital Patient Records Management System SQL注入漏洞（CNVD-2022-48745）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

金融知識萬里行 交行全力守護百姓“錢袋子”

6月以來，交通銀行積極開展“普及金融知識 守住‘錢袋子’”及“銀行業普及金融知識萬里行”宣傳活動，提高消費者金融素養及金融詐騙防范意識。>>詳細

【反詐】浦發銀行與你攜手，反詐拒賭守護“錢袋子”！

近年來隨著網絡技術不斷發達，不法分子的電信詐騙手段也在加速迭代變化，面對眼花繚亂的虛假騙局和防不勝防的重重套路，浦浦發發將帶領大家了解新型詐騙方式。>>詳細

數據資源海量化、多樣化、層級復雜，金融業如何直擊數據安全治理痛點？

在當前復雜的數據安全問題和積極的政策指導環境下，金融數據安全同時面臨著巨大的風險挑戰和前所未有的發展機遇。>>詳細

防詐貼士 | “征信修復”缺誠信 切勿僥幸上圈套

交通銀行信用卡中心梳理典型案例，揭秘“征信修復”騙局，提醒消費者在重視個人信用記錄維護的同時，切勿因僥幸心理誤入“征信修復”騙局，避免產生不必要的損失。>>詳細

CFCA開放平臺能力輸出范本——電子律師函助力金融機構把好貸后管理關

平臺已聚合服務器證書、金信反欺詐、網絡身份認證平臺、安心簽、易企存等服務能力，可為律師事務所等法律服務行業主體賦能。>>詳細

消保小衛士｜小心落入“低利率”陷阱

有貸款需求的消費者，在面對“低利率”、“免息期”這些五花八門門的營銷話術時，一定要擦亮雙眼，樹立理性消費觀，警惕背后隱藏的風險或陷阱。>>詳細

蘇說消保微課堂丨銀行卡使用小知識和風險提示

銀行卡是安全、快捷的支付介質。商業銀行和銀聯已經采取各種技術手段和安全措施，最大限度保障持卡人資金安全。>>詳細

【消保以案說險】一次價值20萬元的通話......

沃德天……什么樣的通話能價值20萬?你不要不相信，這就是發生在大家身邊的案例，擦亮雙眼，看看是什么情況……>>詳細

說案丨拆解各色“殺豬盤”：騙人錢財只需三步

捋一捋理財投資中這類“掠財無數”大型騙局的套路。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年6月27日-7月3日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞439個，其中高危漏洞176個、中危漏洞211個、低危漏洞52個。漏洞平均分值為6.13。上周收錄的漏洞中，涉及0day漏洞322個（占73%），其中互聯網上出現“Prison Management System SQL注入漏洞（CNVD-2022-48389）、Sourcecodester Hospital Patient Records Management System SQL注入漏洞（CNVD-2022-48745）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Huawei產品安全漏洞

Huawei CV81-WDM FW是中國華為（Huawei）公司的一款激光多功能打印機。 HUAWEI HarmonyOS是中國華為（HUAWEI）公司的一個操作系統。提供一個基于微內核的全場景分布式操作系統。HUAWEI EMUI and Magic UI是中國華為（HUAWEI）公司的一款基于Android開發的移動端操作系統。Huawei FLMG-10是中國華為（Huawei）公司的一款高端藍牙遙控音箱。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取系統機密，導致拒絕服務，權限提升等。

CNVD收錄的相關漏洞包括：Huawei CV81-WDM FW拒絕服務漏洞、HUAWEI HarmonyOS代碼問題漏洞（CNVD-2022-47648、CNVD-2022-47651）、HUAWEI EMUI and Magic UI信息泄露漏洞、HUAWEI HarmonyOS資源管理錯誤漏洞（CNVD-2022-47652）、HUAWEI HarmonyOS緩沖區溢出漏洞（CNVD-2022-47650）、Huawei FLMG-10授權問題漏洞、Huawei CV81-WDM FW緩沖區溢出漏洞。其中，除“HUAWEI HarmonyOS代碼問題漏洞（CNVD-2022-47648、CNVD-2022-47651）、HUAWEI EMUI and Magic UI信息泄露漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Google產品安全漏洞

Google Android是美國谷歌（Google）公司的一套以Linux為基礎的開源操作系統。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限升級。

CNVD收錄的相關漏洞包括：Google Android緩沖區溢出漏洞（CNVD-2022-47668、CNVD-2022-47674、CNVD-2022-47673、CNVD-2022-47675）、Google Android權限提升漏洞（CNVD-2022-47670、CNVD-2022-47672、CNVD-2022-47680）、Google Android權限許可和訪問控制問題漏洞（CNVD-2022-47677）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe InDesign是美國奧多比（Adobe）公司的一套排版編輯應用程序。Adobe Bridge是美國奧多比（Adobe）公司的一款文件查看器。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在當前用戶的上下文中執行任意代碼。

CNVD收錄的相關漏洞包括：Adobe InDesign越界寫入漏洞（CNVD-2022-48769、CNVD-2022-48767、CNVD-2022-48770、CNVD-2022-48781、CNVD-2022-48780）、Adobe InDesign堆緩沖區溢出漏洞、Adobe Bridge越界寫入漏洞（CNVD-2022-48774、CNVD-2022-48778）。上述漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Fortinet產品安全漏洞

Fortinet FortiEDR是美國Fortinet公司的一個從頭開始構建的端點安全解決方案。Fortinet FortiWan是美國Fortinet公司的一個網絡設備。用于在不同網絡之間執行負載平衡和容錯。Fortinet FortiClient是美國Fortinet公司的一種結構代理。用于在單個模塊化輕量級客戶端中提供保護、合規性和安全訪問。Fortinet FortiManager是一套集中化網絡安全管理平臺。Fortinet FortiAnalyzer是一套集中式網絡安全報告解決方案。Fortinet FortiPortal是FortiGate、FortiWiFi和FortiAP產品線的高級、功能豐富的托管安全分析和管理支持工具，可作為虛擬機供MSP使用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞偽裝和偽造來自其他收集器的消息，從同一部署中的端點禁用和卸載收集器，借助特制的HTTP請求執行未經授權的代碼或命令等。

CNVD收錄的相關漏洞包括：Fortinet FortiEDR信任管理問題漏洞（CNVD-2022-47976、CNVD-2022-47977）、Fortinet FortiWAN SQL注入漏洞、Fortinet FortiWAN加密問題漏洞、Fortinet FortiClient for Linux信息泄露漏洞、Fortinet多款產品操作系統命令注入漏洞、Fortinet FortiWAN操作系統命令注入漏洞、Fortinet FortiWAN緩沖區溢出漏洞。其中，“Fortinet FortiWAN SQL注入漏洞、Fortinet多款產品操作系統命令注入漏洞、Fortinet FortiWAN操作系統命令注入漏洞、Fortinet FortiWAN緩沖區溢出漏洞”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

多款TotoLink產品命令注入漏洞（CNVD-2022-47973）

Totolink A830R/A3100R/A950RG/A800R/A3000RU/A810R等產品都是中國Totolink公司的路由器。上周，多款TotoLink產品被披露存在命令注入漏洞。攻擊者可利用該漏洞通過精心制作的請求執行任意命令。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Huawei產品被披露存在多個漏洞，攻擊者可利用漏洞獲取系統機密，導致拒絕服務，權限提升等。此外，Google、Adobe、Fortinet等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致本地權限升級，偽裝和偽造來自其他收集器的消息，從同一部署中的端點禁用和卸載收集器，借助特制的HTTP請求執行未經授權的代碼或命令等。另外，多款TotoLink產品被披露存在命令注入漏洞。攻擊者可利用漏洞通過精心制作的請求執行任意命令。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、新華網、21世紀經濟報道、交通銀行、浦發銀行、江蘇銀行、深圳農商銀行、桂林銀行金融服務報道

責任編輯：韓希宇