國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞475個，互聯網上出現“BaijiaCMS任意文件上傳漏洞、WUZHI CMS SQL注入漏洞（CNVD-2022-59014）”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

如何識別金融騙局？央行贈防詐小貼士：“一看二問三查四不要”

根據人民銀行兩年一次的消費者金融素養問卷調查的結果，我國消費者金融素養水平穩步提升，消費者金融素養指數從2017年的63.71、2019年的64.77提升到2021年的66.81。>>詳細

反詐有信，幸福相伴｜玩網游要當心，虛假交易盯上你！

貪小便宜吃大虧，裝備買賣要謹慎，賬號代練不輕信，虛假鏈接不能進，支付密碼要管好，家中寶寶多教導。>>詳細

【金教基地】謹防投資理財騙局，提高風險防范意識

面對標榜“專業指導”“高額回報” “穩賺不賠”等網絡投資理財推銷，要保持清醒頭腦，千萬不要沖動跟隨。>>詳細

騙子親述：辦理信用卡提額，怎么成了一場騙局？

信用卡的初始額度是由銀行根據用戶申請時提供的個人信息綜合決定的。但在日常生活中，很多人都會出現信用卡不夠用的情況，便花很多時間和心血尋找養卡提額的方法。>>詳細

守住“誠信興商”底線，不碰“出口騙稅”紅線

做好自營出口業務管理，切勿在未實質參與出口經營活動中，輕信并接受他人介紹的出口業務。>>詳細

鯉想金融小課堂：防范養老詐騙

如今網絡信息發達，老年朋友們也慢慢走進網絡世界，但由于對信息分辨能力不夠，面對各類“量身打造”的騙局，更容易落入騙子圈套。>>詳細

好險！常熟農商銀行巧識騙局，保住儲戶養老錢

小燕溫馨提醒：謹記“九字真言”，不輕信、不透露、不轉賬，保管好個人信息及財產安全！>>詳細

金融知識普及月：警惕借貸廣告，建立理性消費觀

在生活類APP上大肆推廣借貸產品，不僅容易讓有借款需求的消費者掉進高利網貸陷阱，也容易讓沒有還款能力的消費者被誘導使用借款服務，輕則償還高額利息，重則影響個人征信。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年8月22日-28日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）本周共收集、整理信息安全漏洞475個，其中高危漏洞179個、中危漏洞244個、低危漏洞52個。漏洞平均分值為6.17。本周收錄的漏洞中，涉及0day漏洞307個（占65%），其中互聯網上出現“BaijiaCMS任意文件上傳漏洞、WUZHI CMS SQL注入漏洞（CNVD-2022-59014）”等零日代碼攻擊漏洞。

本周重要漏洞安全告警 

Fortinet產品安全漏洞

Fortinet FortiSandbox是美國飛塔（Fortinet）公司的一款APT（高級持續性威脅）防護設備。該設備提供雙重沙盒技術、動態威脅智能系統、實時控制面板和報告等功能。Fortinet FortiManager是一套集中化網絡安全管理平臺。該平臺支持集中管理任意數量的Fortinet設備，并能夠將設備分組到不同的管理域（ADOM）進一步簡化多設備安全部署與管理。Fortinet FortiAnalyzer是一套集中式網絡安全報告解決方案。該產品主要用于收集網絡日志數據，并通過報告套件對日志中的安全事件、網絡流量、Web內容等進行分析、報告、歸檔操作。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞向應用程序發送特別設計的請求，并在目標系統上執行任意代碼，執行非法SQL語句，使設備進入無響應狀態等。

CNVD收錄的相關漏洞包括：Fortinet FortiManager訪問控制錯誤漏洞（CNVD-2022-58487）、Fortinet FortiManager和Fortinet FortiAnalyzer環境問題漏洞、Fortinet FortiManager和Fortinet FortiAnalyzer服務器端請求偽造漏洞、Fortinet FortiSandbox緩沖區溢出漏洞、Fortinet FortiSandbox SQL注入漏洞、Fortinet FortiSandbox和Fortinet FortiAuthenticator拒絕服務漏洞、Fortinet FortiSandbox操作系統命令注入漏洞、Fortinet FortiSandbox跨站腳本漏洞。其中，“Fortinet FortiSandbox和Fortinet FortiAuthenticator拒絕服務漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

SAP產品安全漏洞

SAP Business One是德國思愛普（SAP）公司的一套企業管理軟件。該軟件包括財務管理、運營管理和人力資源管理等功能。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞繞過認證過程，訪問敏感信息，執行任意命令等。

CNVD收錄的相關漏洞包括：SAP Business One CSV注入漏洞、SAP Business One信息泄露漏洞（CNVD-2022-58472）、SAP Business One SQL注入漏洞、SAP Business One路徑遍歷漏洞、SAP Business One輸入驗證錯誤漏洞、SAP Business One權限許可和訪問控制問題漏洞、SAP Business One授權問題漏洞、SAP Business One代碼問題漏洞。其中，“SAP Business One權限許可和訪問控制問題漏洞、SAP Business One CSV注入漏洞”的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Adobe產品安全漏洞

Adobe Acrobat Reader是美國奧多比（Adobe）公司的一款PDF查看器。該軟件用于打印，簽名和注釋PDF。Adobe Framemaker是一套用于編寫和編輯大型或復雜文檔（包括結構化文檔）的頁面排版軟件。Adobe Illustrator是一套基于向量的圖像制作軟件。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞執行任意代碼，導致內存泄漏等。

CNVD收錄的相關漏洞包括：Adobe Acrobat Reader資源管理錯誤漏洞（CNVD-2022-58460）、Adobe Acrobat Reader緩沖區溢出漏洞（CNVD-2022-58464、CNVD-2022-58463）、Adobe Acrobat Reader輸入驗證錯誤漏洞（CNVD-2022-58462、CNVD-2022-58461）、Adobe FrameMaker緩沖區溢出漏洞（CNVD-2022-58467、CNVD-2022-58468）、Adobe Illustrator緩沖區溢出漏洞（CNVD-2022-58466）。其中，除“Adobe Acrobat Reader緩沖區溢出漏洞（CNVD-2022-58463）、Adobe Acrobat Reader輸入驗證錯誤漏洞”外其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft SharePoint是美國微軟（Microsoft）公司的一套企業業務協作平臺。Microsoft HEVC Video Extensions是一個視頻擴展應用程序。該應用使計算機和設備可以讀取高效視頻編碼或HEVC視頻。本周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞在系統上執行任意代碼。

CNVD收錄的相關漏洞包括：Microsoft SharePoint Server遠程代碼執行漏洞（CNVD-2022-59594）、Microsoft HEVC Video Extensions遠程代碼執行漏洞（CNVD-2022-59677、CNVD-2022-59676、CNVD-2022-59681、CNVD-2022-59680、CNVD-2022-59679、CNVD-2022-59684、CNVD-2022-59686）。其中，“Microsoft SharePoint Server遠程代碼執行漏洞（CNVD-2022-59594）、Microsoft HEVC Video Extensions遠程代碼執行漏洞（CNVD-2022-59686）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

D-Link DIR-816緩沖區溢出漏洞

D-Link DIR-816是中國臺灣友訊（D-Link）公司的一款無線路由器。本周，D-Link DIR-816被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞導致棧溢出進而執行代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

本周，Fortinet產品被披露存在多個漏洞，攻擊者可利用漏洞向應用程序發送特別設計的請求，并在目標系統上執行任意代碼，執行非法SQL語句，使設備進入無響應狀態等。此外，SAP、Adobe、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞繞過認證過程，訪問敏感信息，執行任意命令，導致內存泄漏等。另外，D-Link DIR-816被披露存在緩沖區溢出漏洞。攻擊者可利用該漏洞導致棧溢出進而執行代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、每日經濟新聞、中信銀行、晉商銀行、桂林銀行金融服務、廊坊銀行掌上資訊、常熟農商銀行、互聯網支付安全聯盟報道

責任編輯：韓希宇