國家信息安全漏洞共享平臺上周共收集、整理信息安全漏洞449個，互聯網上出現“Wedding Planner select.php SQL注入漏洞、ShopWind跨站腳本漏洞”等零日代碼攻擊漏洞，上周信息安全漏洞威脅整體評價級別為中。中國電子銀行網為您梳理過去一周的信息安全行業要聞并告警重要漏洞，深入探討信息安全知識。

一周行業要聞速覽

銀保監會發布風險提示：警惕貸款中介三大陷阱，低息免費、洗白征信背后往往面臨高額收費、貸款騙局

10月14日，銀保監會發布風險提示稱，貸款市場上，有一些非法中介假冒銀行名義，打著正規機構、無抵押、無擔保、低息免費、洗白征信等虛假宣傳的旗號誘導消費者辦理貸款，其實這些誘人條件的背后是高額收費、貸款騙局等套路陷阱。>>詳細

【消?！窟h離誘惑和洗錢陷阱，警惕卷入洗錢犯罪

不法份子借助手機、固定電話、網絡等通信工具和網銀技術實施的非接觸式詐騙犯罪迅速蔓延，給人民群眾造成了很大的損失。>>詳細

【消?！侩婁N貸款需警惕，漫畫教你識詐騙

電銷貸款需警惕，多為中介設套路；貸款直接找銀行，無需中介手續費。>>詳細

【安全課堂】“雙11”網購，警惕刷單詐騙！

“雙11”期間，詐騙分子常以高薪刷單、高額返現、優惠券等借口實施詐騙。>>詳細

【消保以案說險】什么詐騙居然能連續被騙三次？

不要輕信陌生來電、短信，不要點擊任何來路不明的貸款鏈接、廣告。>>詳細

金融詐騙套路多！如何防范不掉坑？

作為金融消費者，如何分辨渠道、客服、產品、平臺真偽？遇到騙局如何維權？央行金融消費權益保護局局長余文建給廣大金融消費者總結了一套防金融詐騙的小貼士：“一看、二問、三查、四不要”。>>詳細

【消保黔行】高能預警！一大波“雙十一詐騙術”正在來襲~

心寶兒分析了“雙十一"期間較常出現的詐騙陷阱，希望大家要擦亮雙眼，每一筆轉賬前理智!理智!再理智。>>詳細

A仔帶你盤一盤，數字證書到底是啥？

做過辣么多網上交易，用過辣么多數字證書，但你真的了解它嗎？2分鐘，A仔帶你盤一盤，數字證書到底是咋回事！>>詳細

打著“數字人民幣”的幌子，這五種套路要了解

隨著網絡技術和數字經濟蓬勃發展，社會公眾對零售支付便捷性、安全性、普惠性、隱私性等方面的需求日益提高，數字人民幣支付也正成為消費“新時尚”。>>詳細

安全威脅播報

上周漏洞基本情況

上周（2022年10月17日-23日）信息安全漏洞威脅整體評價級別為中。國家信息安全漏洞共享平臺（以下簡稱CNVD）上周共收集、整理信息安全漏洞449個，其中高危漏洞165個、中危漏洞235個、低危漏洞49個。漏洞平均分值為6.10。上周收錄的漏洞中，涉及0day漏洞332個（占74%），其中互聯網上出現“Wedding Planner select.php SQL注入漏洞、ShopWind跨站腳本漏洞”等零日代碼攻擊漏洞。

上周重要漏洞安全告警 

SAP產品安全漏洞

SAP NetWeaver AS是德國思愛普（SAP）公司的一款SAP網絡應用服務器。它不僅能提供網絡服務，且還是SAP軟件的基本平臺。SAP 3D Visual Enterprise Author是德國思愛普（SAP）公司的一個用于管理2D、3D、動畫、視頻和音頻資產的桌面應用程序。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取HTTP請求中的敏感信息，發送具有不同方法類型的多個Http請求，導致拒絕服務等。

CNVD收錄的相關漏洞包括：SAP NetWeaver AS for Java拒絕服務漏洞、SAP NetWeaver AS JAVA信息泄露漏洞（CNVD-2022-69287）、SAP 3D Visual Enterprise Author緩沖區溢出漏洞（CNVD-2022-69691、CNVD-2022-69694、CNVD-2022-69693、CNVD-2022-69692、CNVD-2022-69697、CNVD-2022-69696）。其中，“SAP 3D Visual Enterprise Author緩沖區溢出漏洞（CNVD-2022-69691、CNVD-2022-69693）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Linux產品安全漏洞

Linux kernel是美國Linux基金會的開源操作系統Linux所使用的內核。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞導致程序崩潰，任意代碼執行，獲得系統上的提升權限等。

CNVD收錄的相關漏洞包括：Linux kernel資源管理錯誤漏洞（CNVD-2022-69188、CNVD-2022-69187、CNVD-2022-69186、CNVD-2022-69189、CNVD-2022-69192、CNVD-2022-69191）、Linux kernel權限提升漏洞（CNVD-2022-69197、CNVD-2022-69204）。其中，“Linux kernel權限提升漏洞（CNVD-2022-69197、CNVD-2022-69204）”漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Apache產品安全漏洞

Apache Pulsar是美國阿帕奇（Apache）基金會的一個用于云環境種，集消息、存儲、輕量化函數式計算為一體的分布式消息流平臺。該軟件支持多租戶、持久化存儲、多機房跨區域數據復制，具有強一致性、高吞吐以及低延時的高可擴展流數據存儲特性。Apache IoTDB是美國阿帕奇（Apache）基金會的一款為時間序列數據設計的集成數據管理引擎，它能夠提供數據收集、存儲和分析服務等。Apache Tapestry是美國阿帕奇（Apache）基金會的一款使用Java語言編寫的Web應用程序框架。Apache Dubbo是一款微服務開發框架，它提供了RPC通信與微服務治理兩大關鍵能力。Apache Tomcat是美國阿帕奇（Apache）基金會的一款輕量級Web應用服務器。該程序實現了對Servlet和JavaServer Page（JSP）的支持。Apache Jetspeed-2是美國阿帕奇（Apache）基金會的一個非常開放和可定制的門戶平臺。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞通過Proxy實現中間人攻擊，繞過身份驗證過程并在特定情況下接管其他Web應用程序用戶的帳戶，導致拒絕服務(ReDoS)攻擊等。

CNVD收錄的相關漏洞包括：Apache Pulsar信任管理問題漏洞（CNVD-2022-69470、CNVD-2022-69468）、Apache IoTDB訪問控制錯誤漏洞、Apache IoTDB授權問題漏洞（CNVD-2022-69472）、Apache Tapestry拒絕服務漏洞（CNVD-2022-69475）、Apache Dubbo Hession反序列化漏洞、Apache Tomcat請求混淆漏洞、Apache Jetspeed-2輸入驗證錯誤漏洞。其中，除“Apache Pulsar信任管理問題漏洞（CNVD-2022-69470、CNVD-2022-69468）外，其余漏洞的綜合評級為“高?！?。目前，廠商已經發布了上述漏洞的修補程序。

Microsoft產品安全漏洞

Microsoft Windows Print Spooler Components是美國微軟（Microsoft）公司的一個打印后臺處理程序組件。Microsoft Windows Remote Access Connection Manager是美國微軟（Microsoft）公司的一項Windows服務，用于管理從您的計算機到Internet的虛擬專用網絡 (VPN)連接，如果禁用此服務，VPN客戶端應用程序將無法啟動。Microsoft Windows Push Notifications是美國微軟（Microsoft）公司的一個推送通知服務。它提供了一種可靠的方式提供新的更新。Microsoft Windows Storage Spaces Controller是美國微軟（Microsoft）公司的提供存儲空間功能的必要驅動程序。Microsoft Windows是美國微軟（Microsoft）公司的一種桌面操作系統。Microsoft Windows Remote Procedure Call Runtime是美國微軟（Microsoft）公司的一種用于創建分布式客戶端/服務器程序的技術。Microsoft Windows Remote Desktop Protocol（RDP）是美國微軟（Microsoft）公司的一款用于連接遠程Windows桌面的應用。上周，上述產品被披露存在多個漏洞，攻擊者可利用漏洞獲取敏感信息，導致任意代碼執行或權限提升等。

CNVD收錄的相關漏洞包括：Microsoft Windows Print Spooler Components權限提升漏洞（CNVD-2022-70056）、Microsoft Windows Remote Access Connection Manager權限提升漏洞（CNVD-2022-70059）、Microsoft Windows Push Notifications權限提升漏洞、Microsoft Windows Storage Spaces Controller權限提升漏洞（CNVD-2022-70064、CNVD-2022-70065）、Microsoft Windows Server Service信息泄露漏洞、Microsoft Windows Remote Procedure Call Runtime遠程代碼執行漏洞、Microsoft Windows Remote Desktop Protocol信息泄露漏洞（CNVD-2022-70061）。其中，“Microsoft Windows Print Spooler Components權限提升漏洞（CNVD-2022-70056）、Microsoft Windows Storage Spaces Controller權限提升漏洞（CNVD-2022-70065）”漏洞的綜合評級為“高?！蹦壳?，廠商已經發布了上述漏洞的修補程序。

Schneider Electric Easergy P5緩沖區溢出漏洞

Schneider Electric Easergy P5是法國施耐德電氣（Schneider Electric）公司的一款適用于要求苛刻的中壓應用的保護繼電器。上周，Schneider Electric Easergy P5被披露存在緩沖區溢出漏洞。攻擊者可以利用該漏洞在系統上執行任意代碼。目前，廠商尚未發布上述漏洞的修補程序。

小結

上周，SAP產品被披露存在多個漏洞，攻擊者可利用漏洞獲取HTTP請求中的敏感信息，發送具有不同方法類型的多個Http請求，導致拒絕服務等。此外，Linux、Apache、Microsoft等多款產品被披露存在多個漏洞，攻擊者可利用漏洞導致程序崩潰，任意代碼執行，通過Proxy實現中間人攻擊，繞過身份驗證過程并在特定情況下接管其他Web應用程序用戶的帳戶，導致拒絕服務(ReDoS)攻擊等。另外，Schneider Electric Easergy P5被披露存在緩沖區溢出漏洞。攻擊者可利用漏洞在系統上執行任意代碼。建議相關用戶隨時關注上述廠商主頁，及時獲取修復補丁或解決方案。

中國電子銀行網綜合CNVD、21世紀經濟報道、每日經濟新聞、中國建設銀行、浦發銀行、北京銀行微銀行、貴州銀行、桂林銀行金融服務報道

責任編輯：韓希宇