國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞558個，互聯網上出現“Air Cargo Management System SQL注入漏洞（CNVD-2022-58095）、Simple Client Management System SQL注入漏洞（CNVD-2022-57772）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

隱私保護、數據安全、智能風控日益受到關注，業內專家認為：數字化轉型需守好金融安全底線

業內也將數字技術的發展觸角更多地延伸至科技倫理、隱私保護、數據安全、智能風控等與金融安全緊密相關的領域，以有效應對金融機構在數字化轉型過程中的安全“痛點”。>>詳細

【警惕】反詐安全小課堂第三期—非法買賣銀行卡

小豆在此提醒大家，妥善保管好自己的身份證、銀行卡、網銀盾等賬戶存取工具，對于廢棄不用的銀行卡，應及時辦理銷戶業務，并將卡片磁條毀損，不隨意丟棄。>>詳細

【警惕】南京銀行防范“電信網絡詐騙”溫馨提示

南京銀行匯總常見詐騙手法及案例，希望能增強大家對電信網絡詐騙、跨境賭博的防范意識。>>詳細

興業銀行北京分行召開2022年上半年消費者權益保護工作會議

持續強化消保理念和能力提升，通過定期消保培訓提升全員消保服務能力，通過常態化創新金融宣傳提升消費者金融素養。>>詳細

眨眨眼、動動手，“小而美”的手機銀行如此兼顧體驗與安全

張家港農商銀行與中國金融認證中心（CFCA）合作，為手機銀行客戶端引入CFCA“FIDO+數字證書”移動端認證解決方案，方案融合了數字證書、生物識別、移動端可信安全環境技術。>>詳細

【消?！克倏?！浦發銀行教您避坑“非法金融活動”

了解金融基本知識，掌握常見非法金融類型及識別方法以及遭遇非法金融活動的救濟途徑，提高自身識別非法金融活動的能力。>>詳細

半數企業面臨數據泄露風險 “網站神盾”SSL證書了解一下！

CFCA 服務器證書幫助網站實現身份認證與反釣魚，在客戶端與服務端之間建立一條安全的加密通道，對傳輸的數據進行加密，保證數據在傳輸過程中的完整性和保密性，有效防止數據泄露及篡改。>>詳細

【知識】詐騙電話花樣多，陌生電話不輕信！

任何陌生人來電，但凡提出了添加微信、掃描二維碼、提供驗證碼、匯款的要求，基本能判定是騙局! >>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年8月15日-21日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞558個，其中高危漏洞163個、中危漏洞298個、低危漏洞97個。漏洞平均分值為5.63。上周收錄的漏洞中，涉及0day漏洞317個（占57%），其中互聯網上出現“Air Cargo Management System SQL注入漏洞（CNVD-2022-58095）、Simple Client Management System SQL注入漏洞（CNVD-2022-57772）”等零日代碼攻擊漏洞。

上周重要漏洞安全告警

Microsoft產品安全漏洞

Microsoft Azure Site Recovery是美國微軟（Microsoft）公司的一種站點恢復（DRaaS），用于云和混合云架構。上周，上述產品被披露存在權限提升漏洞，攻擊者可利用漏洞在系統上獲得提升的權限。

CNVD收錄的相關漏洞包括：Microsoft Azure Site Recovery權限提升漏洞（CNVD-2022-57194、CNVD-2022-57193、CNVD-2022-57197、CNVD-2022-57196、CNVD-2022-57195、CNVD-2022-57201、CNVD-2022-57200、CNVD-2022-57199）。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP NetWeaver Enterprise Portal是一個SAP NetWeaver的Web前端組件。SAP SuccessFactors是德國思愛普（SAP）公司的一個基于云的Hcm軟件應用程序。SAP Business One是德國思愛普（SAP）公司的一套企業管理軟件。該軟件包括財務管理、運營管理和人力資源管理等功能。SAP BusinessObjects BW Publisher Service是德國SAP公司的一種模型驅動數據倉庫產品。SAP Business Objects是德國SAP公司的一個商業智能套件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲得敏感信息、查看或修改信息、提升權限、執行拒絕服務攻擊，使系統暫時無法運行等。

CNVD收錄的相關漏洞包括：SAP NetWeaver Enterprise Portal跨站腳本漏洞（CNVD-2022-56942、CNVD-2022-56941）、SAP SuccessFactors權限提升漏洞、SAP Business One拒絕服務漏洞、SAP Business One代碼注入漏洞（CNVD-2022-56957）、SAP BusinessObjects BW Publisher Service權限提升漏洞、SAP BusinessObjects Business Intelligence Platform SQL注入漏洞、SAP Business One信息泄露漏洞（CNVD-2022-56961）。其中，“SAP SuccessFactors權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

IBM產品安全漏洞

IBM CICS TX Advanced是美國IBM公司的一個綜合的、單一的事務運行時包?？梢詾楠毩贸绦蛱峁┰圃渴鹉Ｐ?。IBM DataPower Gateway是美國IBM公司的一套專門為移動、云、應用編程接口（API）、網絡、面向服務架構（SOA）、B2B和云工作負載而設計的安全和集成平臺。該平臺可利用專用網關平臺跨渠道保護、集成和優化訪問。IBM Robotic Process Automation是美國IBM公司的一種機器人流程自動化產品?？蓭椭詡鹘y RPA 的輕松和速度大規模自動化更多業務和 IT 流程。IBM QRadar SIEM是美國IBM公司的一套利用安全智能保護資產和信息遠離高級威脅的解決方案。該方案提供對整個IT架構范圍進行監督、生成詳細的數據訪問和用戶活動報告等功能。IBM Engineering Lifecycle Optimization（ELO）是美國IBM公司的工程生命周期管理 (ELM) 產品組合的擴展。它們可以更輕松地收集和分析整個開發環境中的數據，以做出更好的決策。自動化報告以確保整個組織擁有優化開發所需的信息，定義可以幫助您的擴展團隊采用和遵循最佳實踐的流程，與第三方工具接口以自定義您的開發環境。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，造成應用拒絕服務等。

CNVD收錄的相關漏洞包括：IBM CICS TX跨站請求偽造漏洞、IBM DataPower Gateway服務器端請求偽造漏洞（CNVD-2022-56971）、IBM DataPower Gateway XML外部實體注入漏洞（CNVD-2022-56970）、IBM Robotic Process Automation信息泄露漏洞（CNVD-2022-56974）、IBM Robotic Process Automation權限提升漏洞、IBM DataPower Gateway跨站腳本漏洞（CNVD-2022-56972）、IBM QRadar SIEM拒絕服務漏洞（CNVD-2022-56976）、IBM Engineering Lifecycle Optimization信息泄露漏洞。其中，“IBM CICS TX跨站請求偽造漏洞、IBM DataPower Gateway服務器端請求偽造漏洞（CNVD-2022-56971）、IBM DataPower Gateway XML外部實體注入漏洞（CNVD-2022-56970）、IBM Robotic Process Automation權限提升漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Jenkins產品安全漏洞

Jenkins和Jenkins Plugin都是Jenkins開源的產品。Jenkins是一個應用軟件。一個開源自動化服務器Jenkins提供了數百個插件來支持構建，部署和自動化任何項目。Jenkins Plugin是一個應用軟件。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞向指定的URL發送HTTP請求、創建和刪除XPath表達式、獲取敏感信息等。

CNVD收錄的相關漏洞包括：Jenkins Recipe Plugin XML外部實體注入漏洞、Jenkins Recipe Plugin跨站請求偽造漏洞、Jenkins RocketChat Notifier Plugin信息泄露漏洞、Jenkins Skype notifier Plugin信息泄露漏洞、Jenkins RQM Plugin信息泄露漏洞、Jenkins XPath Configuration Viewer Plugin授權問題漏洞、Jenkins Plugin requests-plugin授權問題漏洞、Jenkins XebiaLabs XL Release Plugin授權問題漏洞（CNVD-2022-58430）。目前，廠商已經發布了上述漏洞的修補程序。

TP-LINK TL-R473G遠程代碼執行漏洞

TP-LINK TL-R473G是中國普聯（TP-LINK）公司的一款千兆企業VPN路由器。上周，TP-LINK TL-R473G被披露存在遠程代碼執行漏洞。攻擊者可利用該漏洞通過特制的數據包執行遠程代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，Microsoft產品被披露存在權限提升漏洞，攻擊者可利用漏洞在系統上獲得提升的權限。此外，SAP、IBM、Jenkins等多款產品被披露存在多個漏洞，攻擊者可利用漏洞向指定的URL發送HTTP請求、獲取敏感信息、提升權限、執行拒絕服務攻擊，使系統暫時無法運行等。另外，TP-LINK TL-R473G被披露存在遠程代碼執行漏洞。攻擊者可利用該漏洞通過特制的數據包執行遠程代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、中國金融新聞網、中國農業銀行微銀行、浦發銀行、南京銀行、江西轄內農商銀行微銀行報道

責任編輯：韓希宇